«Защита ваших технологий — это защита финансов. Компьютер, принимающий решения, надо обезопасить»,— заявил Артем Сычев, заместитель начальника главного управления безопасности и защиты информации Банка России в своем выступлении на третьей ежегодной конференции-консилиуме «ИТ-бюджет банка — 2017». На фоне недавних новостей о том, что иностранные спецслужбы «руками» хакеров собираются дестабилизировать финансовую систему России, предупреждение Артема Сычева выглядит более чем обоснованным. Однако, как мы видим по собственному опыту и исследованиям в этой области, по-прежнему высокий риск исходит не столько от внешних злоумышленников, сколько от ежедневной «незаметной» работы внутренних мошенников.

Проблема внутреннего мошенничества в банках актуальна и для России

В ноябре один из крупнейших американских банков Wells Fargo уволил 5300 сотрудников, которые открывали счета без ведома клиентов и собирали за их обслуживание комиссию. Работники делали это, чтобы выполнить план по продажам и получить бонусы. А в результате банк оштрафовали на $185 млн и, кроме того, обязали выплатить $2,6 млн пострадавшим клиентам. Проблема внутреннего мошенничества в банках актуальна и для России. Мы решили выяснить, с какими схемами сталкиваются наши клиенты из кредитно-финансовой сферы.

«Продам персональные данные. Недорого»

Один из российских банков столкнулся с проблемой оттока клиентов без видимых на то причин. Служба безопасности ужесточила контроль, и вскоре DLP-система обнаружила подозрительное письмо сотрудника.

Из текста было ясно, что руководство отдела по работе с юрлицами передает за пределы банка персональные данные клиентов. Служебное расследование подтвердило подозрение: информация утекала к конкурентам, которые уводили заемщиков, предлагая им более выгодные условия. Банк подсчитал, что ежегодно терял порядка 108,5 млн рублей из-за ухода клиентов. Кроме того, слив информации грозил штрафом 500 тыс. рублей.

«Я мщу. И месть моя страшна!»

Другим опытом поделился один из крупнейших по капиталу банков ближнего зарубежья, сотрудник которого действовал не в корыстных целях, а из желания отомстить. Не получив руководящей должности, служащий решил «слить» информацию о количестве ценных бумаг в распоряжении акционеров.

Мошенникам удалось изменить курс на Московской бирже, в результате чего курс доллара 14 минут колебался более чем на 15%

Причем данные раскрывали распределение долей вплоть до второго знака после запятой. Сотрудник планировал передать их в прессу, что подорвало бы репутацию банка и пошло на руку конкурентам. Однако служба ИБ вовремя обнаружила проблему и предотвратила инцидент. По подсчетам экспертов банка, если бы утечка произошла, за год организация могла бы потерять более 72,1 млн рублей.

Здесь же уместно вспомнить взлом трейдинговой системы Энергобанка, который произошел в феврале 2016-го и, вероятно, мог быть расплатой за увольнение сотрудника. Мошенникам удалось изменить курс на Московской бирже, в результате чего курс доллара 14 минут колебался более чем на 15%: его можно было купить по 55 рублей и продать за 62 рубля. Потери Энергобанка составили 243,6 млн рублей.

«Пойду на все. За откат»

Согласно исследованию аналитического центра «Серчинформ», с 2014 года количество сотрудников, пойманных на откатах, выросло почти в 1,5 раза. При этом 30% респондентов отметили, что суммы откатов стали больше. И финансовые учреждения не исключение: здесь люди чаще всего готовы небезвозмездно «содействовать» по части кредитования.

По факту инцидента служба безопасности провела расследование и выяснила, что сотрудник «старался за откат»

Разоблачил подобную схему и наш клиент из финансового сектора. Офицер безопасности зафиксировал факт обращения одного из сотрудников к личной почте в рабочее время. Среди последних писем DLP-система обнаружила переписку с текущим клиентом банка. Что интересно, досье этого клиента как потенциального заемщика рассматривалось на последнем заседании кредитного комитета. И упомянутый выше служащий защищал претендента как добросовестного, чтобы предложить индивидуальные условия кредитования. По факту инцидента служба безопасности провела расследование и выяснила, что сотрудник «старался за откат». Разумеется, он был уволен, не получив «благодарности».

Кстати, опыт работы с такими инцидентами в банках показывает, что чаще всего в откатных схемах участвуют финансовые директора, аудиторы, главные бухгалтеры и руководители отделов финансового контроля. В группу риска попадают и управляющие других направлений, отвечающие за бюджет (IT-директор, директор по административно-хозяйственной работе и т. д.).

И прецеденты появляются в прессе. Взять хотя бы свежую историю с экс-председателем правления Рента-банка Людмилой Лепко. Пособниками в деле выступали служащие организаций, которые обслуживались в банке ранее, что сняло подозрения на первых порах. Соучастники готовили пакеты поддельных документов для получения кредитов от имени ничего не подозревавших директоров этих фирм. А экс-председатель, используя служебное положение, давала указание сотрудникам банка подготовить акты о проверке наличия у фирм товаров в обороте, оценку уровня кредитного риска по ссуде и протоколы заседания кредитного комитета. Предварительно Лепко заверяла подчиненных в том, что кандидаты уже прошли проверку и удовлетворяют всем условиям. Выделенные деньги перенаправлялись в фирмы-однодневки, как только поступали на счета заемщиков. Так мошенникам удалось похитить больше 70 млн рублей.

Кто во что горазд

Ясно, что привести развернутый и законченный обзор схем мошенничества в банках невозможно: в желании обогатиться или добиться справедливости люди обращаются к уже избитым приемам или идут на новые хитрости.

Бывает, рядовые сотрудники финучреждений просто поддаются соблазну подзаработать, когда предложения поступают извне

Одни сотрудники выводят деньги со счетов клиентов (как случилось в АО «Русский международный банк», работник которого подозревается в хищении 155 млн рублей). Другие служащие взламывают банковские ячейки (как произошло в Газпромбанке, чьи клиенты лишились в общей сложности €1,5 млн). Третьи публикуют в сети номера счетов с именами владельцев, чтобы привлечь покупателей на полную базу персональных данных (как было с американским банком Morgan Stanley).

А бывает, рядовые сотрудники финучреждений просто поддаются соблазну подзаработать, когда предложения поступают извне. Таким кейсом поделился наш клиент из небанковской сферы: их сотрудники, имея данные чужих карт, искали возможность обналичить счета через банк, «который не будет задавать вопросов». Служба безопасности перехватила разговор служащих в Skype, из которого следовало, что исполнитель найден: «…турецкий банк. получим бабки без вопросов, если поделимся 10%». По сути, банк от такой операции ничего не терял, но репутация могла бы пострадать, попади инцидент в прессу.

Если верить Агентству по страхованию вкладов (АСВ), за девять месяцев 2016 года сотрудники российских банков пытались похитить порядка 51 млрд рублей со счетов 57 тысяч вкладчиков.

В ходе подготовки и проведения страховых выплат АСВ сталкивалось с «двойной бухгалтерией», фактами хищения средств со счетов вкладчиков и уничтожения электронных баз данных и первичных документов с целью сокрытия вывода активов. В отчете также говорится о случаях формирования фиктивной ссудной задолженности перед физическими лицами.

Защита как китайская стена

Угроза инсайда очевидна, и пока банки борются с ней один на один. Впрочем, все идет к тому, чтобы меры принимались на более высоком уровне. Так, в апреле текущего года для российских банков начали действовать рекомендации ЦБ РФ по борьбе с внутренними нарушителями. Это в первую очередь пользователи АБС, которые имеют легальный доступ к данным и могут нанести ущерб организации. Далее — персонал, обслуживающий IT-системы, и технический персонал, который вхож в помещения, где информация обрабатывается. И в конце концов не сотрудники банков, которые все же имеют доступ к некоторым данным: аудиторы, партнеры, подрядчики.

Центробанк посоветовал возводить «китайские стены»

Из соображений безопасности Банк России рекомендовал разбить конфиденциальную информацию на категории, определить возможных нарушителей для каждой из них и установить контроль всех информационных потоков, что возможно только с помощью DLP-системы.

Несмотря на планы регулятора, стандарт пока не стал обязательным. Однако в ноябре банки получили новые рекомендации. Теперь Центробанк посоветовал возводить « китайские стены»: четко разделять сотрудников, которым клиенты сообщают инсайдерскую информацию, и работников, которые отвечают за совершение операций. А также строго регламентировать обмен и передачу непубличных данных.

С соблюдением этих рекомендаций головной боли у банков станет меньше, но мы со своей стороны видим еще одну проблему: несмотря на то что финучреждения больше других занимаются вопросами безопасности, схемы мошенничеств совершенствуются и утечки информации все равно происходят. А значит, банкам нужно работать на опережение: предвосхищать новые угрозы и находить эффективные способы защиты. Делать это в одиночку попросту невозможно, так что рынок нуждается в создании закрытого сообщества, где сотрудники служб безопасности могли бы обмениваться опытом, открыто обсуждать проблемы и искать решения. Примером такой площадки уже стал уральский форум «Информационная безопасность финансовой сферы». Свой вклад в консолидацию вносим и мы, ежегодно проводя Road Show для специалистов по безопасности. Инцидентов в банковской сфере станет меньше, если тенденция закрепится, а средства контроля и защиты будут постоянно совершенствоваться.