Банки

Центральный офис Сбербанка слил информацию о сотрудниках в сеть

На специализированном форуме phreaker.pro была выложена база данных сотрудников Сбербанка. Это  текстовый файл размером около 47 Мб, содержащий свыше 421 тысячи записей с фамилиями, именами и отчествами сотрудников. Указаны их логины для входа в операционную систему, которые в большинстве случаев совпадают с адресами их почты. По базе можно определить, в каком подразделении работает данный человек. В базе также содержатся данные о сотрудниках дочерних организаций Сбербанка, российских и зарубежных. В базе больше фамилий, чем число всех сотрудников группы Сбербанка, которое по  данным МСФО по итогам первого полугодия 2018 года составляло почти 300 тысяч человек. Вероятно, в базе содержатся данные о некоторых уволенных сотрудниках. Базу выложил неизвестный пользователь в бесплатный доступ.

Проверка показала, что информация в базе актуальна на 1 августа 2018 года. Имеются в ней три e-mail президента банка Германа Грефа. Подлинность базы подтверждают сотрудник Сбербанка и представитель сторонней организации, связанной с информационной безопасностью банка. В пресс-службе Сбербанка сообщили, что там известно об опубликованной  базе данных.

В банке заверили, что опубликованная информация «не представляет никакой угрозы автоматизированным системам и клиентам». В пресс-службе банка подчеркнули, что эта адресная книга доступна всем работникам Сбербанка и «не несет угрозы раскрытия их персональных данных». Причины утечки не раскрываются. Наиболее вероятными являются «злонамеренные действия» кого-то из действующих или бывших сотрудников. О происшествии доложили Герману Грефу, он выразил  недовольство.

Об утечке данных из Сбербанка осведомлен департамент информационной безопасности ЦБ. Там назвали ситуацию «малоприятной». В пресс-службе Банка России не ответили на вопрос, принял  ли ЦБ в связи с инцидентом какие-либо меры. В таких случаях обычно обращаются в международную организацию FIRST для разделегирования доменов, на которых выложили базу.

Глава управления информбезопасности ОТП Банка Сергей Чернокозинский подчеркивает, что для банка, имеющего серьезную информационную защиту, подобная утечка несет репутационные, а не кибернетические риски. Он считает: «Данные могут быть использованы для массовой рассылки фишинговых писем, рекламы, спама, но серьезные банки с подобными проблемами умеют справляться».

Веб-аналитик «Лаборатории Касперского» Владислав Тушканов говорит, что утечки данных из финансовых компаний, здравоохранения, государственных ведомств происходят довольно часто. Он полагает:  «Для самого предприятия это может быть чревато репутационными потерями, также утечки несут угрозу непосредственно тем, чьи данные попадают в открытый доступ».

Господина Тушканова поддерживает управляющий партнер экспертной группы Veta Илья Жарской, считающий, что  клиенты банка могут усомниться, что банк, не сумевший защитить данные собственных сотрудников, хорошо обеспечивает безопасность информации клиентов. 

Эксперты в сфере информбезопасности, скачав архив и ознакомившись с ним, выразили уверенность, что утечка произошла по вине одного из сотрудников Сбербанка.

Гендиректор Zecurion Алексей Раевский отметил: «Файлы, содержащиеся в архиве, являются служебными документами, они относятся к интеграции процессов разработки и эксплуатации программного обеспечения (DevOps)». Файлы являются черновиком проекта по конкретной системе Сбербанка, это незавершенная работа. Эксперты считают, что произошло не хищение информации, а неправильные действия сотрудника, желающего поработать дома и отправившего рабочие файлы на домашнюю почту.

В Сбербанке подтвердили, что их информационные системы не были взломаны, и отметили, что указанные файлы не содержат банковской, коммерческой тайны и персональных данных сотрудников и клиентов банка. В пресс-службе банка уточнили: «В архиве содержится рабочая техническая документация, обмен которой возможен, в том числе с подрядчиками, через Интернет для выполнения производственных задач».

Сбербанк защищается от внутренних утечек. В 2014 году банк заключил договор с компанией «Информзащита», которая поставила в Сбербанк решения компании InfoWatch. Данное решение использует весь головной офис банка, из которого произошла утечка. Следует разобраться, почему не сработало решение InfoWatch, есть разные предположения. В одном эксперты уверены точно, данный случай – сигнал для Сбербанка.

Метки
Close
Close

Обнаружен Adblock

Пожалуйста, отключите adblock на нашем сайте. Мы стараемся каждый день сделать так, чтобы вам было у нас приятно и полезно