Сбербанк не защитил данные своих сотрудников

В сети оказалась информация в виде имен и адресов электронной почты около 420 тыс. сотрудников Сбербанка. Причину утечки банк не раскрывает, но, возможно, это произошло из-за «злонамеренных действий одного из сотрудников». К глобальным проблемам Сбербанка это событие не приведет, но вот персоналу грозят массовые фишинговые рассылки. В этом случае на первое место выходит важность репутационного риска: У клиентов могут появиться сомнения в том, что банк, не организовавший должную защиту данных своих же сотрудников, сможет хорошо обеспечить безопасность других сведений.

Недавно специализированный форум phreaker.pro пополнился выложенной базой данных сотрудников Сбербанка в виде текстового файла размером приметно 47 мегабайт, содержащем свыше 421 тыс. записей - ФИО сотрудников, их логины для входа в операционную систему, в большинстве случаев совпадающие с их электронными почтовыми адресами. Кроме того, можно узнать, какое именно подразделение является местом работы того или иного работает сотрудника. База содержат информацию о сотрудниках дочерних структур Сбербанка, включая зарубежные. Что характерно, по своему размеру база больше численности всего штата группы Сбербанка, которая, по данным МСФО по итогам 1-го полугодия т.г., насчитывала около 300 тыс. человек. Это, возможно, связано с тем, что база содержит сведения еще и о сотрудниках (не всех, которые были уволены. Базу, доступ к которой бесплатен, выложили неизвестные пользователи.

После проверки выяснилась актуальность этой информации - на 1 августа 2018 года (поиск сотрудников, которые были трудоустроены позже, результатов не дал).

Чтобы проверить подлинность данных, было проведено сравнение e-mail ряда непубличных менеджеров Сбербанка и собственной базой данных, имеет база и три e-mail главы банка Германа Грефа. Подлинность базы была подтверждена одним сотрудником Сбербанка и представителем сторонней организации, связанной с информбезопасностью банка. По словам представителей пресс-службы Сбербанка, они знают о том, что опубликована часть адресной книги сотрудников, но от публикации этих данных не пострадают автоматизированные системы и клиенты. Этой адресной книгой могут воспользоваться все сотрудники Сбербанка и в этом нет угрозы раскрытия персональных данных.

О причинах утечки ничего не сказано. Но, как сказали несколько источников, скорее всего это связано со «злонамеренными действиями» кого-нибудь из работающих или уволенных сотрудников. О проблеме знает Герман Греф, уже выразивший свое недовольство.

Также есть информация, что про утечку данных сотрудников Сбербанка знают и в департаменте информбезопасности ЦБ, где сочли, что ситуация «малоприятна». Но пока нет официального подтверждения этой информации, также неизвестно о принятии ЦБ в связи с этим каких-либо мер (к примеру, имело ли место обращение в международную организацию FIRST, чтобы разделегировать домены, на которых выложили базу).

Как считает глава управления информбезопасности ОТП-банка Сергей Чернокозинский, банк, имеющий серьезную информационную защиту, в подобной утечке данных видит в первую очередь угрозу своим репутационным, а не кибернетическим рискам. Ведь эти данные можно использовать для массовой фишинг-рассылки, рекламы, спама, но серьезные банки, как правило, быстро решают подобные проблемы.

По словам веб-аналитика «Лаборатории Касперского» Владислава Тушканова, в последнее время все чаще приходится сталкиваться с утечками данных, это касается и финансовых компаний, и здравоохранения, и государственных ведомств. По мнению Тушканова, для самой предприятии это быть несет репутационные потери, утечки угрожают непосредственно тем, чьи данные оказываются в открытом доступе. Как сказал управляющий партнер экспертной группы Veta Илья Жарский, это зарождает сомнения среди клиентов банка в том, что банк, не сумевший организовать должным образом защиту данных собственных сотрудников, сможет обеспечить безопасность их информации.