МФО: защищайтесь от внешних угроз!

24 мая 2018

МФО: защищайтесь от внешних угроз!

Компании микрофинансового рынка должны серьезно задуматься о своей безопасности и о сохранности данных клиентов. Вопросам безопасности была посвящена первая конференция о комплексной безопасности на рынке МФИ.

Из 20 тыс. организаций небанковского рынка к системе угроз, которую ведет Банк России, «ФинСерт», сегодня подключено очень мало организаций рынка микрофинансирования – чуть больше 100. Об этом заявил, выступая на первой отраслевой конференции «Комплексная безопасность в МФИ» заместитель директора СРО «МиР» Андрей Паранич. Поэтому СРО «МиР» предлагает компаниям помочь провести аудит безопасности и показать, где в их системах защиты находятся дыры.

Паранич вспомнил, как у одного руководителя МФО в базе жил вирус, при этом вирус спал полгода и все бэк-апы системы данных были уже заражены, и злоумышленники, внедрившие вирус, требовали у этой МФО за разблокировку денег. Поэтому компании пришлось пойти на этот шантаж платить за разблокировку, а уже потом базу лечить.

Система защиты информации – это не один человек, все сотрудники компании должны понимать, что можно делать, а чего нельзя, уверен Паранич.

Главный инженер Управления методологии и стандартизации информационной безопасности Главного управления безопасности и защиты информации Банка России Виктор Лебедев напомнил МФО о наличии Стандарта Банка России 1.0. Стандарт существует как методика аудита внешней безопасности и как руководство к самооценке. Аудит должен проводиться только с привлечением внешних специалистов, так как самооценка практически всегда оказывается самообманом.

С 1 июля 2018 года вводятся изменения с положение ЦБ 382 П – для платежных систем – аудит должен быть только внешним. Самооценку можно проводить как этап подготовки к внешнему аудиту.

Лебедев подчеркнул, что многие МФО считают, что для реализации стандарта понадобится 2-3 года. Но это не так. Порядка 60% требований стандарта – это правила настройки работы систем МФО.

Гост 2.0 говорит, что стоимость средств защиты не должны превышать разумные пределы, считает Лебедев. Есть логика в принятии на себя риска – компания прогнозирует, что у нее определенную сумму денег в определенный период просто похищают, и компания с этим смирилась. Но этот риск надо просчитать заранее, отметил специалист ЦБ.

Скоро должен выйти приказ ФСБ о технических условиях установки средств защиты и порядка информирования о них – нужно разграничить, кому и когда МФО поставляют информацию по критической информационной инфраструктуре, отметил Лебедев. К концу августа 2018 года этот приказ будет согласован.

Андрей Паранич напомнил, что аудит сохранности персональных данных показывает: дырок в системах безопасности МФО очень много.

Коснулся Паранич и создания базы данных о мошеннических попытках брать займы по поддельным документам – «Стоп-мошенник». Программное обеспечение делает компания Slon-finance. Доля займов PDL– 22% во всех выданных займах, и доля выдаваемых в онлайне займов сейчас составляет 17%, но дойдет в ближайшие годы до 40% как минимум. Примерно 10% из потока онлайн-заявок – мошеннические, по отрасли это генерит убытки в миллионы рублей.

Что происходит с данными о выявленным мошенниках? Спросил Андрей Паранич у компаний, присутствующих на конференции. Ему ответили, что в обязательном порядке сообщают в полицию.

Паранич посетовал, что задержание злоумышленников – это скорее исключение из правил, чем само правило работы правоохранительных органов.

Особняком стоит вопрос о скомпрометированных данных тех людей, чьи паспорта были украдены или потеряны. Потому что бывают случаи, когда один и тот же человек приходит с пятью паспортами, выданных на фамилии разных людей - и с одной фотографией. Поэтому в общую базу передается информация в хешированом виде – и сотрудник МФО сравнивает по запросу хеш с хешем. И даже при взломе базы злоумышленниками не будут утечки персональных данных.

Храниться база будут на серверах СРО «МиР». Возникает вопрос – как данные человека оттуда убрать, если он уже осознал, что на его утраченный паспорт берутся займы и кредиты, и поменял паспорт? Этот алгоритм еще предстоит продумать.

Из зала поступило предложение хранить и вести эту базу в бюро кредитных историй - БКИ, так как рано или поздно ЦБ принудит все МФО вступить в БКИ. И вот будет приходить мошенник, его определяют как человека не со своими документами, и данные о нем тут же поступают в БКИ. И в другом МФО при запросе в БКИ будут сразу ясно, что эти данные – скомпрометированы.

Начальник отдела информационной безопасности группы компаний Eqvanta Владислав Кузнецов отметил, что очень плохо, если в компании системный администратор может скопировать всю базу или ее кусок. Копирование базы должно проходить только с санкции безопасников и под их контролем.

Кузнецов посоветовал компаниям написать своих собственных хакеров, которые будут пытаться найти уязвимости компаний. Он предлагает постоянно сканировать на наличие в сети некорпоративных устройств, например, личных телефонов и ноутбуков. Потому что очень важно, чтобы в вай-фае компаний не было личных устройств, а тем более – устройств гостей.

Записал Георгий Демидов

© 2018 «ИнМФО»Для лиц старше 18 лет

Карта сайта

X