Ответственности за утечки ПДН в России явно не хватает
Наши партнёры Наши проекты: IT Worldall CIOIT ContactIT Analytics
ВходРегистрация
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Ответственности за утечки ПДН в России явно не хватает

Ответственности за утечки ПДН в России явно не хватает

| 17.04.2014

В Сети появилась информация о том, что с сайта РЖД утекли данные о банковских картах.

Один из блогеров, создавших сайт https://sos-rzd.com/, заявил о том, что обнаружил на сайте РЖД уязвимость, позволявшую в течение недели скачивать данные кобрендинговых банковских карт, которыми их владельцы расплачивались за услуги российской железнодорожной компании. Подобные кобрендинговые карты в партнерстве с РЖД выпускает в настоящее время банк ВТБ 24.

«Дыра» в безопасности сайта, как утверждает блогер, связана с уязвимостью в криптографической библиотеке OpenSSL. Информация об уязвимости появилась в Сети 7 апреля, а на сайте РЖД «дыру», по данным блогера, закрыли лишь 14 числа того же месяца.

В итоге, по мнению экспертов, опасности могли подвергнуться порядка 200 тысяч кобрендинговых карт банка ВТБ 24 и РЖД. 

Для подтверждения своих слов, блогер выложил на сайт https://sos-rzd.com/ данные о 10 тысячах банковских карт, информацию о которых собрал только за один день - 14 апреля. Данные могут увидеть лишь сами владельцы, после ввода неполного номера своей банковской карты. У IT-Weekly есть информация о реальных людях, которые обнаружили данные своих карт (полный номер, СVV-код, данные о владельце) в упомянутом «черном» списке.

Банк ВТБ 24 официально пока не подтверждает информацию об уязвимости и о скомпрометированных картах.

Такая ситуация наглядно иллюстрирует положение дел с хранением персональных данных – в России сегодня нет эффективного механизма, обязывающего организации уведомлять клиентов о произошедшей утечке данных и о потенциальной опасности подобной утечки (когда данные могли быть скомпрометированы, но подтверждения тому, что они попали в руки злоумышленников нет).

Можно также отметить, что финансовые организации не выказывают особой признательности тем, кто пытается оказать им помощь, отправляя данные о скомпрометированных клиентах. Об этом в свое время говорил Илья Сачков, генеральный директор компании Group-IB (российская частная структура, занимающаяся расследованием киберпреступлений в финансовой сфере). Еще в далеком 2010 году Group-IB бесплатно предлагала банкам данные о скомпрометированных клиентах, пользующихся системой Интернет-банкинга. Сачков рассказывал тогда, что помощь встретили скорее негативно, чем с благодарностью. Об этом же свидетельствует запись в блоге самого Сачкова с характерным заголовком «Наболело».

Стимулировать организации, которые хранят персональные данные, к тому, чтобы вовремя оповещать клиентов о произошедших реальных или потенциальных утечках, по идее, должны регуляторы. Сегодня за утечки персональных данных организациям грозят определенные штрафные санкции. При этом сумму штрафа нельзя назвать существенной не то, что для крупного, а даже для небольшого банка. Даже после увеличения, запланированного на вторую половину 2014 года, сумма штрафа составит от 100 тысяч рублей до 200 тысяч. Подчеркнем, что речь идет о штрафе в случае зафиксированного инцидента.

Автор: Леонид Чуриков

Теги: информационная безопасность, банковские системы, платежные системы, базы данных, персональные данные

Еженедельник IT Weekly № 16/2014 (23.04)    [ PDF ]    [ Подписка на журнал ]

Компания: Group-IB


ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

ПопулярноеБезопасность

банковские системы

Еженедельник IT Weekly

Компании сообщают

Компании сообщаютМаркетинговые акции

Редакция рекомендует

25.04.16
Реселлеры и дистрибьюторы, работающие в IT-канале, постоянно сталкиваются с риском неплатежей. Неприятны неплатежи и в бизнесе с небольшо ...
18.04.16
Тим Хармон (Tim Harmon), специалист Forrester Research, рассуждает в издании Channelnomics о том, как повысить рентабельность работы партн ...
31.03.16
Классическая структура IT-канала планомерно разрушается по всей цепочке. Крупные заказчики создают собственные IT-компании для обслуживания своей ин ...
30.03.16
Уральский федеральный округ, и в частности Екатеринбург, давно облюбовали основные российские многовендорные дистрибьюторы, и в кризисны ...

Реклама

Последние комментарии

Фоторепортажи

Конференция «Оптимизация бизнеса"Конференция «Оптимизация бизнеса"
22.05.16
Мероприятие RAMEC "Безопасная ИТ-инфраструктура предприятия на платформе IBM"Мероприятие RAMEC "Безопасная ИТ-инфраструктура предприятия на платформе IBM"
20.05.16
ИТ-ландшафт регионов РоссииИТ-ландшафт регионов России
10.04.16

Тренды

04.03.16
Агентство East-West Digital News подготовило отчет «E-Commerce in Russia. February 2016», в котором указало, что за 2015 год 30 млн ро ...
13.01.16
IBM в 23-й раз подряд получила в США больше патентов за год, чем все ее конкуренты. Такие подсчеты провела аналитическая компания IFI Claims Pa ...