Ответственности за утечки ПДН в России явно не хватает
Наши партнёры Наши проекты: IT Worldall CIOIT ContactIT Analytics
ВходРегистрация
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Ответственности за утечки ПДН в России явно не хватает

Ответственности за утечки ПДН в России явно не хватает

| 17.04.2014

В Сети появилась информация о том, что с сайта РЖД утекли данные о банковских картах.

Один из блогеров, создавших сайт https://sos-rzd.com/, заявил о том, что обнаружил на сайте РЖД уязвимость, позволявшую в течение недели скачивать данные кобрендинговых банковских карт, которыми их владельцы расплачивались за услуги российской железнодорожной компании. Подобные кобрендинговые карты в партнерстве с РЖД выпускает в настоящее время банк ВТБ 24.

«Дыра» в безопасности сайта, как утверждает блогер, связана с уязвимостью в криптографической библиотеке OpenSSL. Информация об уязвимости появилась в Сети 7 апреля, а на сайте РЖД «дыру», по данным блогера, закрыли лишь 14 числа того же месяца.

В итоге, по мнению экспертов, опасности могли подвергнуться порядка 200 тысяч кобрендинговых карт банка ВТБ 24 и РЖД. 

Для подтверждения своих слов, блогер выложил на сайт https://sos-rzd.com/ данные о 10 тысячах банковских карт, информацию о которых собрал только за один день - 14 апреля. Данные могут увидеть лишь сами владельцы, после ввода неполного номера своей банковской карты. У IT-Weekly есть информация о реальных людях, которые обнаружили данные своих карт (полный номер, СVV-код, данные о владельце) в упомянутом «черном» списке.

Банк ВТБ 24 официально пока не подтверждает информацию об уязвимости и о скомпрометированных картах.

Такая ситуация наглядно иллюстрирует положение дел с хранением персональных данных – в России сегодня нет эффективного механизма, обязывающего организации уведомлять клиентов о произошедшей утечке данных и о потенциальной опасности подобной утечки (когда данные могли быть скомпрометированы, но подтверждения тому, что они попали в руки злоумышленников нет).

Можно также отметить, что финансовые организации не выказывают особой признательности тем, кто пытается оказать им помощь, отправляя данные о скомпрометированных клиентах. Об этом в свое время говорил Илья Сачков, генеральный директор компании Group-IB (российская частная структура, занимающаяся расследованием киберпреступлений в финансовой сфере). Еще в далеком 2010 году Group-IB бесплатно предлагала банкам данные о скомпрометированных клиентах, пользующихся системой Интернет-банкинга. Сачков рассказывал тогда, что помощь встретили скорее негативно, чем с благодарностью. Об этом же свидетельствует запись в блоге самого Сачкова с характерным заголовком «Наболело».

Стимулировать организации, которые хранят персональные данные, к тому, чтобы вовремя оповещать клиентов о произошедших реальных или потенциальных утечках, по идее, должны регуляторы. Сегодня за утечки персональных данных организациям грозят определенные штрафные санкции. При этом сумму штрафа нельзя назвать существенной не то, что для крупного, а даже для небольшого банка. Даже после увеличения, запланированного на вторую половину 2014 года, сумма штрафа составит от 100 тысяч рублей до 200 тысяч. Подчеркнем, что речь идет о штрафе в случае зафиксированного инцидента.

Автор: Леонид Чуриков

Теги: информационная безопасность, банковские системы, платежные системы, базы данных, персональные данные

Еженедельник IT Weekly № 16/2014 (23.04)    [ PDF ]    [ Подписка на журнал ]

Компания: Group-IB

Навигация:   РынокБезопасность    БизнесIT-рынок


ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Каждую презентацию своих продуктов «Лаборатория Касперского» превращает в красочное шоу. То присутствующим предлагают прокатиться на машине времени, то поучаствовать в трансляциях студии Kaspersky Digital Radio, а в этот раз мероприятие прошло в «Шапито украденных личностей».

мероприятия

| 08.09.2016
II Industrial IT Forum

Санкт-Петербург, Культурно-деловой центр «Club House» пр. Медиков, д. 3

| 15.09.2016
Конференция IDC IT Security Roadshow 2016

Санкт-Петербург, RADISSON ROYAL ОТЕЛЬ, САНКТ-ПЕТЕРБУРГ, Невский проспект 49/2

| 21.09.2016 — 22.09.2016
II федеральный «ИТ-форум нефтегазовой отрасли России».

Санкт-Петербург, отель Four Seasons Hotel Lion Palace St.Petersburg (Санкт-Петербург, Вознесенский пр., д.1)

| 22.09.2016
«Телеком 2016: правовые вопросы, законодательные ответы»

Москва, отель Марриотт Роял Аврора

Также смотрите

Редакция рекомендует

Бум на облачные сервисы, который так давно предрекали визионеры и футурологи мира информационных технологий, наконец-то наступил: по итогам 2 ...
Системные интеграторы, внедряющие BI-проекты, постепенно расширяют список BI-вендоров. Появлению в этом списке российских разработчиков ...

Реклама

Журнал IT News продолжает осваивать региональные ИТ рынки России, а именно работать над проектом Региональные выпуски. Последние сводки: наши войска ...

Фоторепортажи

Мы в социальных сетях

Компании сообщают