Хранение банковских данных: дата-центры, утечки, закон

20 Dec 2021

Банки знают о нас даже больше, чем социальные сети. Как правило, мы не сообщаем в Facebook или Instagram, сколько денег мы получаем от работодателя, где и сколько тратим — зато у банка эта информация есть. Как банк хранит эти данные и куда они могут утекать, ПостНаука узнала у доктора физико-математических наук, ректора Университета Иннополис, заведующего базовой кафедрой теоретической и прикладной информатики МФТИ Александром Тормасова. Материал подготовлен при поддержке Selectel — IT-компании, которая делает работу онлайн-сервисов бесперебойной, надежной и технологичной.

Утечки данных

Банки хорошо контролируют хранение персональных данных. Поэтому их массовые утечки конкретно из банков — скорее, исключение. Тем не менее, угроза кражи конфиденциальной информации беспокоит банки: по данным экспертно-аналитического центра ГК InfoWatch, за 2020 год в мире обнаружено 202 утечки конфиденциальной информации из банков, финансовых и страховых компаний. В ходе этих утечек было скомпрометировано 486 млн записей персональных данных и платежной информации.

Случаются ситуации, когда сотрудники банков или кредитных организаций крадут и публикуют фрагменты баз данных клиентов (как правило, в небольших объемах). Бывает, что утечка происходит не в результате умышленных действий, а по неосторожности: например, при использовании сотрудником во время работы социальных сетей или мессенджеров. Во всех этих случаях виновных довольно просто вычислить: службы безопасности могут проверить, когда тот или иной сотрудник был на рабочем месте, имел ли он доступ к базе данных и так далее.

Многие утечки также связаны с внешними по отношению к банкам контрагентами. Например, закон о хранении персональных данных могут нарушить компании, которые принимают платежи посредством банков. Некоторое время назад часть интернет-магазинов хранила платежную информацию, в частности, номера кредитных карт клиентов, и из-за отсутствия инфраструктуры, которая обеспечивала бы информационную безопасность, иногда случались утечки, и информация попадала в открытые базы данных. Постепенно интернет-магазины отказались от этой практики и стали переадресовывать платежи на сайт банка, с которым заключен договор.

В интересах всех

Сведениями о доходах и расходах клиентов банка могут интересоваться государственные службы — от налоговой инспекции до правоохранительных органов. В 2021 году Федеральная налоговая служба получила расширенный доступ к банковской тайне россиян: теперь банки будут обязаны в течение трех дней после запроса выдавать ведомству копии паспортов, договоров по счету и другие персональные данные клиентов.

В то же время, государство как совокупность людей, пытается не допустить слишком больших злоупотреблений в области обработки персональных данных. Возможно, каждый человек, который принимает законы, пытается примерить ситуацию на себя лично: что могут узнать конкретно о нем хакеры, спецслужбы, налоговые органы, и что будет, если эта информация окажется в открытом доступе. И хотя законодательство пытается удержать приватность, доступность связанных с ней данных становится все шире для любых заинтересованных лиц, а уровень манипуляций персональными данными со стороны крупных организаций возрастает.

Данные о клиентах — как персонализированные, так и деперсонализированные, нужны мошенникам, в том числе и тем самым, что представляются по телефону сотрудниками банка. При этом им необязательно знать большое количество реальных фактов, достаточно иметь минимальную информацию о человеке (его имя и номер телефона) и уметь вести диалог так, чтобы жертва сама выдавала нужное — в частности, CVC-код. Однако постепенно методы киберпреступников будут совершенствоваться.

Например, чтобы обеспечить безопасность, банку со временем требуется еще больше данных о клиенте: и особенно беспокоят его запросы, биометрических данных (хотя распознавание отпечатков пальцев, черт лица или голоса не может быть стопроцентным). Пока сложно сказать, какие последствия может вызвать утечка биометрических данных из банка. Как минимум, эти данные могут оказаться полезными для генерации голосовых и визуальных дипфейков — изображений или звуков, генерируемых с помощью алгоритмов искусственного интеллекта — которые могут использоваться, чтобы обойти системы распознавания клиентов в банке (можно тренировать на такой утечке собственный алгоритм, имитирующий конкретного человека, и проверять, сработает ли на нем утекший алгоритм с биометрическими данными). Но чтобы создавать дипфейки, пока еще требуются слишком высокие вычислительные мощности — и пока это останавливает мошенников.

Кроме того, персональные и деперсонализированные данные могут пригодиться для таргетированной продажи. Люди, рассылающие спам, платят за верифицированные базы, в которых данные классифицированы по возрасту, платежеспособности и другим критериям, важным для таргетинга. Для этих задач может быть неинтересен номер вашей кредитной карты, но интересен возраст, доход, активность, хобби: если известно, что человеку 50 лет, у него средние доходы, он интересуется музыкой и покупает виниловые пластинки, скорее всего, таргетированная рассылка предложит ему проигрыватель или аудиофильские колонки по высокой цене.

Секретно и недоступно

Информация о банковских клиентах хранится в дата-центрах (или центрах обработки данных). Они представляют собой помещения, в которых размещено оборудование для хранения и обработки данных. Дата-центр — это сложная инфраструктура, в которой функционируют самые разные системы, обеспечивающие безопасность данных и бесперебойную работу оборудования: от климат-контроля, систем пожаротушения и резервных источников питания до систем контроля и управления доступом, а также защиты от хакерских атак. Эти системы постоянно совершенствуются.

Для защиты дата-центров от внешних катаклизмов (пожаров, землетрясений, обрушений зданий и так далее) используются специальные сейфы и комнаты безопасности, в которых хранится критически важное оборудование. Как правило, в дата-центрах ведется постоянное резервное копирование данных (в том числе на другие дата-центры, которые географически удалены друг от друга). В помещения с оборудованием для хранения данных доступ персонала строго ограничен: для контроля доступа используется биометрия и системы видеонаблюдения.

Защита данных

Обеспечение безопасности данных — это сложная техническая задача, поэтому представители бизнеса часто прибегают к услугам профессионалов. Такие компании должны и охранять свои дата-центры, и контролировать доступ к серверам, и использовать оборудование, которое соответствует требованиям Федерального закона 152-ФЗ «О персональных данных». Для этого применяют специализированные серверы для 152-ФЗ.

По сути, это метод, с помощью которого хранят данные облачные сервисы (частные, в собственности банка, или чьи-то другие, на аутсорсе). Облачные технологии могут применяться для реализации внутренних сервисов или хранения деперсонализованных данных — например, информации о ежедневных тратах клиента, и эти данные могут быть вне ограничений закона о персональных данных. Но такая информация строго ограничена: банки не могут передавать в облако сведения о количестве транзакций или точной сумме чека — иными словами, всего, что позволяет вычислить клиента.

Буква закона

Согласно статье 857 Гражданского Кодекса, российские банки гарантируют тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте, а сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям, в бюро кредитных историй, а также государственным органам и их должностным лицам.

В целом, физические и виртуальные системы дата-центра должны удовлетворять разным требованиям по безопасности, сформулированным в законах и отраслевых стандартах. В частности, работу дата-центров и облачных сервисов и обработку персональных данных регулирует федеральный закон «О персональных данных». Согласно ему, под обработкой персональных данных понимается любое действие или их совокупность (сбор, запись, хранение, обновление, распространение и т.д), совершаемых с персональными данными, в том числе с использованием средств автоматизации.

В 2015 году также вступили в силу поправки, которые ограничивают использование банками частных облаков от зарубежных компаний: дата-центр облака, которое используется для хранения данных, должен быть локализован в России. В свою очередь российским облачным сервисам, чтобы иметь право предоставлять свои услуги банкам, необходимо подтвердить соответствие стандартам информационной безопасности для банков: в частности, требованиям федерального закона «О персональных данных», ГОСТ Р 57580.1-2017, Общего регламента о защите персональных данных (GDPR), а также нескольких международных стандартов. Стоит разделять в обсуждении формально (по закону) определенные персональные данные и остальные данные (например, сервисов) банков. Обычно банки не будут хранить в чужом облаке персональные данные: как правило, в облако переносится только реализация их собственных внутренних сервисов, и часто это приватное облако конкретного банка, разделенное на уровни доступа.

Кроме того, коммерческие компании, а также банки подчиняются кодексам этики, которые регулируют в том числе обращение с персональными данными. Часто появление этических кодексов — ответ на ужесточение ограничений деятельности компаний со стороны государства. Принимая тот или иной этический кодекс, компании хотят подать сигнал государству, что не следует придумывать жесткие и иногда бессмысленные ограничения за них и что они готовы ограничить себя сами — при этом максимально продумав меры и пытаясь убедить всех (и законодателей и общество), что меры технически корректны и не приведут к запредельным затратам.

Стоит отметить, что сегодня риск утечек персональных данных из банков, как показывает опыт последних десятков лет, минимизирован по сравнению с другими источниками утечки вроде телекоммуникационных компаний или интернет-магазинов. Но вместе с тем растет опыт слияния данных из разных источников (большинство из которых разрешенные), и обработки их разными специфическими алгоритмами, по сути своей существенно нарушающие саму идею приватности. Похоже, приходится смириться, что общество становится все более «прозрачным» для всех участников рынка — от государственных органов до коммерческих организаций и даже злоумышленников.

Правда, это не означает, что не нужно заботиться о поддержании максимально возможного уровня защищенности и недоступности персональных данных — как на уровне законов и организаций, так и на персональном уровне. Похоже, пора вводить в школы понятие «цифровой гигиены», объясняя детям, что в сети можно рассказывать о себе, а что нельзя.

Против злоумышленников

По оценке экспертов, в 2020 году произошел взрывной рост DDoS-атак — хакерских атак на вычислительную систему, которые проводятся с целью довести ее до отказа. Защитить свои сервисы от вредоносного воздействия можно с помощью технологии против DDos-атак. Такие сервисы умеют анализировать трафик и фильтровать подозрительный, тем самым защищая веб-приложение от потенциальных угроз.

Источник: ПостНаука

Dec 20
19 декабря прошла научная конференция «2023: Предварительные итоги»

19 декабря 2023 года Международный институт развития научного сотрудничества «МИ ...

Nov 15
III Международный форум «СМИ и цифровые технологии перед вызовами информационного и исторического фальсификата»

14 и 15 ноября в отеле «Националь» в Москве проходит III Международный форум «СМ ...

Oct 30
МЕЖДУНАРОДНЫЙ НАУЧНО-ПРАКТИЧЕСКИЙ СЕМИНАР: «БЛИЖНИЙ ВОСТОК В УСЛОВИЯХ МЕНЯЮЩЕГОСЯ МИРОПОРЯДКА»

30 октября 2023 Центр научно-аналитической информации Института востоковедения Р ...

Oct 11
IX Международная встреча интеллектуалов на тему «Евразийские Балканы в большой мировой игре»

10-11 октября в Белграде прошла IX Международная встреча интеллектуалов на тему ...

Наши партнеры

Президиум

Profesor Name
Пономарева Елена Георгиевна

Президент Международного Института Развития Научного Сотрудничества
Российский политолог, историк, публицист. Доктор политических наук, профессор МГИМО

Profesor Name
Ариф Асалыоглу

Генеральный директор Международного Института Развития Научного Сотрудничества

Profesor Name
Мейер Михаил Серафимович

Научный руководитель Международного Института Развития Научного Сотрудничества
Доктор исторических наук. Профессор

Profesor Name
Наумкин Виталий Вячеславович

Председатель Попечительского совета Международного Института Развития Научного Сотрудничества
Доктор исторических наук, профессор, член-корреспондент РАН. Директор Института востоковедения РАН. Член научного совета Российского совета по международным делам.

Profesor Name
Мирзеханов Велихан Салманханович

Заместитель Председателя Попечительского совета Международного Института Развития Научного Сотрудничества
Доктор исторических наук. Профессор кафедры стран постсоветского зарубежья РГГУ, профессор факультета глобальных процессов МГУ им. М.В. Ломоносова.

Встреча российских и турецких молодых интеллектуалов