103 дня за решеткой. Катерина Борисевич
Коронавирус: свежие цифры
  1. Суды над журналистами, маникюр прокурора, морозы и снег. Февраль-2021 — в фотографиях TUT.BY
  2. Жуткое ДТП в Волковысском районе: погибли три человека, в том числе новорожденный ребенок
  3. «Пары начинались в 3 утра». Белорусы, которые учатся в Китае, не могут вернуться в вуз
  4. Какой будет погода весной и стоит ли прятать теплые пуховики в марте
  5. «Деревня умирает! Здесь живут 4 человека — и все». История Анатолия, который работает в автолавке
  6. Беларусбанк вводит лимиты по некоторым операциям с банковскими карточками
  7. Минское «Динамо» проиграло СКА в первом матче Кубка Гагарина
  8. Что известно о «собственной ракете для „Полонеза“», которую создали в Беларуси
  9. Горбачев: Я не раз говорил, что Союз можно было сохранить
  10. Вот почему он стоит больше 100 тысяч евро. В Минск привезли первый Mercedes S-класса нового поколения
  11. Приговор по делу о «ноль промилле»: полгода колонии журналистке TUT.BY и два года с отсрочкой врачу
  12. С 2 марта снова дорожает автомобильное топливо
  13. Светлана Тихановская прокомментировала видео СК по ее делу
  14. Был боссом Дудя, построил крутой бизнес в России, а сейчас помогает пострадавшим за позицию в Беларуси
  15. Чиновники обновили базу тунеядцев. С мая с иждивенцев будут брать по полным тарифам за отопление и газ
  16. Суд по делу «ноль промилле», новые задержания, планы по экстрадиции Тихановской. Что происходило 2 марта
  17. Прививать всех желающих от COVID-19 начнут в апреле. Вакцина будет от белорусского предприятия
  18. Ватные палочки, серные пробки. Врач — о том, из-за чего еще слух может стать хуже
  19. «Шахтер» впервые стал обладателем Суперкубка Беларуси, победный пенальти забил вратарь
  20. Лукашенко рассказал о подробностях переговоров с Путиным
  21. В Витебске увольняют Владимира Мартова — реаниматолога, который первым в Беларуси честно говорил о ковиде
  22. Водители жаловались, что после поездки по М10 не могут отмыть машины. Вот что рассказали дорожники
  23. Латушко ответил жене Макея: Глубина лицемерия и неспособность видеть правду и ложь просто зашкаливает
  24. «Проверяли даже на близнецах». В метро запустили оплату проезда по лицу. Как это работает
  25. «Радуюсь „мягкому“ приговору для невиновных людей». Известные белорусы — о приговоре врачу и журналисту
  26. Виктор Лукашенко получил звание генерал-майора запаса. Предыдущее его известное звание — капитан
  27. «Готовились к захвату зданий в Гомеле». СК — об экстрадиции Тихановской и деле в отношении ее доверенных лиц
  28. Нет ни документов, ни авто. В правительстве объяснили, как снять с учета такую машину, чтобы не платить налог
  29. Приговор журналисту и врачу, переговоры Лукашенко и Путина, планы по экстрадиции Тихановской — все за вчера
  30. «Единственным справедливым решением был бы оправдательный приговор». Заявление TUT.BY по делу «ноль промилле»


Николай Щетько,

В среду, 10 августа, данные об ориентировочно двух тысячах белорусов, подавших электронные заявления на получение услуг МТБанка (паспортные и личные данные, информация о занятости, адреса и т.п.) попали в открытый доступ на сайте банка.



Председатель правления ЗАО "МТБанк" Андрей Жишкевич рассказал TUT.BY подробности об инциденте.

Какие меры и когда были приняты, какие еще будут? Что показали предварительные результаты расследования инцидента? Что сделано для минимизации потерь клиентов от утечки личных сведений? Можно ли предотвратить подобные случаи в дальнейшем?

Внимание! У вас отключен JavaScript, ваш браузер не поддерживает HTML5, или установлена старая версия проигрывателя Adobe Flash Player. Загрузите последнюю версию флэш-проигрывателя.

Скачать аудио (13,55 МБ)

Внимание! У вас отключен JavaScript, ваш браузер не поддерживает HTML5, или установлена старая версия проигрывателя Adobe Flash Player. Загрузите последнюю версию флэш-проигрывателя.

Скачать видео


– Какова была хронология событий? Когда по времени вам лично и службе безопасности банка стало известно об инциденте? В Сети бродят различные версии: некоторые пользователи пишут, что вам сбрасывали информацию через сайт, мои коллеги связывались с вами и представителями банка, сообщали об этой проблеме…

– Уже постфактум разбирая обращения к ссылкам на сайте, через которые состоялась утечка, мы определили, что около 16 часов состоялось первое обращение к этой ссылке. Соответственно, буквально через несколько минут началось первое скачивание информации. Где-то в 16:30 мы получили информацию об этом факте, в том числе от представителей TUT.BY. Тогда же это стало известно службе безопасности и службе технической поддержки.

Проблема заключалась  в том, что речь шла не о непосредственном доступе к серверам банка, а к серверам компании-хостера, которая сопровождает сайт. Поэтому некоторое время ушло на контакт с ними, определение, с каких именно страниц происходит доступ. Следующий вопрос возник: компания-разработчик сайта, соответственно, тоже должна была быть вовлечена в это разбирательство... Этот трехсторонний период общения слегка удлинил процесс реагирования. Хочу сказать, что наверное было сделано все возможное в этой ситуации. 

– С чем было связано то, что эта информация размещалась не на серверах банка? 

– Проблема оказалась в запрограммированной в структуре сайта системе резервирования: анкеты, которые мы получали через сайт, попадали в банк и сохранялись на его серверах.  В этом смысле они были защищены - система инфобезопасности была ориентирована на защиту информации на серверах внутри банка. А система резервирования сайта сохраняла некие репликации непосредственно на сайте, который хранился на внешнем сервере. Из-за этого, собственно говоря, и оказалось, что на стыке внутренней и внешней безопасности произошла утечка.

– Андрей Казимирович, возвращаясь к хронологии: что происходило после того, как вы начали взаимодействие? Почему так долго не было официального комментария на этот счет?

– Комментарий последовал на следующее утро, поскольку как раз так сложились обстоятельства что ситуация развивалась уже в конце дня и в первый вечер больше усилий было направлено на техническую работу. На утро следующего дня мы выпустили комментарий, описывать ситуацию в том объеме сведений, которые у нас были. Здесь важно понимать, что первоначально было очень сложно понять, является ли это хакерской атакой, техническим сбоем, ошибкой или "всем вместе" да ещё и со злым умыслом тех лиц, которые эту ссылку распространяли.

– Вы уже можете сказать, сколько данных утекло? Почему у вас такая интересная формулировка: "данные об электронных заявлениях граждан, которые заявляли о желании  получить услуги банка"?

Сейчас с точки зрения контроля последствий мы никоим образом не разделяем физических лиц, которые стали клиентами банка и не стали таковыми, осознавать разницу именно в силу того, что сами по себе анкеты являлись именно обращениями потенциального клиента банку. Кто из них в результате стал таковым – неизвестно, и это тоже важно. Если бы злоумышленник получил информацию о внутреннем состоянии уже конкретного клиента (кредитный договор, некоторые условия его карточки и т.п.) –  это имело бы намного более серьезные последствия. Возвращаясь к внутренней безопасности – она сосредоточена на том, чтобы информация о банковских продуктах не могла таким образом уйти. Хотя, повторюсь, и личная информация, которая в анкетах существует – безусловно важна и  конфиденциальна.

– Сколько всего их было?

– Несколько тысяч, но эта цифра сейчас активно уточняется. Повторюсь, продолжается разбирательство, расследование. Мы привлекли компетентные подразделения МВД, Управление "К". Я благодарю их за готовность помочь, содействовать. Когда станет очевидно ясно, как и кто (главное!) инициировал этот процесс, станет понятно, какой объем информации мог быть получен. Но это однозначно исчисляется несколькими тысячами.

– Вы предугадали мой следующий сакраментальный вопрос: кто виноват? Пока не ясно?

– С точки зрения конкретной вины… Здесь участвуют три стороны: банк как заказчик, исполнитель – разработчик сайта, хостер. Мы сейчас втроем пытаемся понять, где же "узкое место", в чем произошел сбой и был ли этот сбой техническим и непреднамеренным. Если в этом был злой умысел и злоумышленник, которого мы сможем найти, то мы естественно будем в этом направлении действовать.  Также совершенно очевидная вина банка – мы не предусмотрели нюансы взаимодействия с третьими лицами. Основная задача сейчас – этот урок "выучить", извлечь и не повторить в будущем, с точки зрения самой предпосылки появления такой ситуации.  

– Не могло ли так случиться, что кто-то из сотрудников банка (инсайдер) или сотрудник обслуживающих компаний намеренно оставил эту лазейку, чтобы конкуренты получали доступ к анкетам и данным на протяжении какого-то периода времени? Или раньше к этим файлам не производилось доступа со стороны?

– Подобного рода заблаговременные приготовления к взлому мог совершить и сотрудник банка который техзадание формулирует, и исполнитель на стороне подрядчика... Но такая возможность существует при совершенно любых разработках банка. Я бы не хотел сейчас думать, что это могло быть так. Хотя теоретически это могло случиться.

– Второй сакраментальный вопрос: что делать? Что вы будете делать?

– Мы сейчас уже делаем. Сейчас основной запас энергии и времени мы уделяем контакту с клиентами (и не-клиентами), которых информирует о случившемся контакт-центр банка, потенциально предотвращая, предупреждая возможные последствия наличия этой информации в открытом доступе.

– Да, было очень много прений на тему "девичьей фамилии матери", которая используется в качестве пароля в некоторых сервисах – будем надеяться, что не все пользователи использовали эту информацию в качестве пароля и может быть они уже ее заменили…

– Мы будем призывать клиентов поменять кодовое слово. Применительно к банковским продуктам эта информация не является столь существенной, потому что у нас действует многоступенчатая система идентификации, и фамилия матери не позволяет в этом смысле злоумышленнику, который знает эту фамилию, что-то сделать.

– Планируете ли вы как-то бороться с распространением уже гуляющей по сети базы данных? Если да, осознаете ли бессмысленность этой борьбы?

– Осознаём, но в то же время мы призываем по мере возможности сознательные файлообменники не допускать распространение информации, которая вредоносна для людей (в конечном итоге). С другой стороны, мы планируем напрямую обращаться к крупнейшим файлообменникам и просить их в приоритетном порядке исключать размещение этой информации на их площадках. В любом случае, действия лучше предпринять чем не предпринимать.

– Поступали ли вам претензии, жалобы от клиентов в связи с произошедшим инцидентом? Может быть, пользователи вам сами звонили в банк?

– Обращения клиентов поступали – пока это единичные случаи. С каждым из них мы проводим персональные консультации, а после того, как будет установлено  полное понимание ситуации, мы будем вместе искать некие "компенсаторы" .

– У нас как раз есть один вопрос от одного из пользователей в твиттер: "Как банк планирует возмещать ущерб?" 

– Сейчас мы признаем необходимость большее время уделить информированию и локализации этой ситуации. Для себя признали необходимым иметь возможность компенсацию обеспечивать и будем решать, как это делать.

– Еще один пользователь на форуме спрашивал: "Планирует ли банк возмещать моральный ущерб клиентам?"

– Будем думать. С каждым клиентом будем разговаривать. Будем пытаться применительно к каждой разбирать степень ущерба, пытаться в каждой ситуации подобрать вариант, который может выступить компенсатором.

– Немного сослагательного наклонения. Если бы информация не попала в блоги, соцсети, интернет-ресурсы до закрытия доступа, проинформировали ли бы вы своих клиентов, чья информация могла бы быть скомпрометирована, но не в таких масштабах, как это в итоге случилось?

– Хороший вопрос! Мы не думали об этом, поскольку не оказались в этой ситуации. Скорее всего, да. Мы попытались бы оценить степень угрозы. Если бы признавали, что она существует, хоть в какой-то степени значимая, мы безусловно пытались бы предотвратить ее информированием  клиентов.

– Какая существует политика у банка в области безопасности личных данных?

– Я считаю что банк – один из самых продвинутых в белорусской банковской системе. Инфобезопасность у нас выделена в отдельное направление IT-службы и безопасности. Это промежуточное подразделение, люди, которые отвечают только за это направление. Но, как оказалось, нельзя его было сосредоточить только внутри, на внутренние ресурсы, серверы. Информации о клиентах, которая там хранится, уделяется должное внимание, много внимания, но к сожалению на своей ошибке осознали, что необходимо еще учитывать "расхождение" этой информации во внешних системах .

– Как будет реформирована система интернет-безопасности банка?

– Совершенно точно, в ближайшее время мы предполагаем провести аудит, исключительно ориентированный на интернет-безопасность. В рамках годового аудита – который мы осуществляем каждый год – такой аудит уже производился. В том числе аудиторы, работавшие с нами, воспринимали банк, как "крепость", которую мы окружили "крепостными стенами". А оказалось, что пока еще существуют маленькие "пристройки", которые оказались под меньшим вниманием. Повторю, сейчас мы проведем аудит повторно с учетом осознания, что такая ситуация произошла. Может быть, наш опыт в этом плане станет полезен другим банкам. Наверняка им стоит проанализировать возможность такого же развития ситуации. После аудита мы будем готовы менять, инвестировать и в ПО, и в людей. Мы понимаем, что сейчас для нас это будет исключительно важно.

– Каковы ваши рекомендации клиентам и "не-клиентам", чьи данные попали в гуляющие сейчас по сети базы?

– Прежде всего, если контакт-центр не успел выйти с вами на связь, позвонить в контакт-центр МТБанка. Специалисты смогут более квалифицированно, чем я сейчас, предложить профилактические действия, которые стоит предпринять. С точки зрения банковских продуктов однозначно нет повода для беспокойства: повторюсь что, информация, которая касается непосредственно банковских операций клиента, не подлежала распространению.

– Будете ли вы принимать онлайн-заявки? Может быть, безопаснее "старомодно", на бумажке  заявления, в единственном экземпляре?

– Тоже хороший вопрос. Сейчас постфактум начинаем думать: мы стремились к упрощению, облегчению жизни клиента, предоставляя такую возможность. Как оказалось, те, кто был менее продвинут и работал только с бумажными формами, этого риска избежал. Тем не менее, яочевидный сторонник развития каналов коммуникации "банк-клиент" и верю, что за интернетом в этом смысле будущее. Но система безопасности необходимо уделять большее внимание.

– Бытует мнение, что чем более удобна система для пользователя, тем больше головной боли она доставляет службе интернет- и инфобезопасности. Сродни традиционному треугольнику "цена-сроки-качество". Хотелось бы, чтобы вы это дело как минимум не бросили…

– В этом треугольнике мы сейчас будем уделять намного большее внимание безопасности, это очевидно. Я верю, что мы сможем сохранить простоту и легкость как элемент качества. Я лично являюсь пользователем интернет-банкинга и всевозможных способов оплаты через интернет. Считаю что без этого мне, как клиенту, было бы намного сложнее. Повторюсь, банк и впредь будет развивать электронные платежи и каналы взаимодействия с клиентом.

– Как часто, по оценкам вашей службы безопасности, случаются такие утечки? Вы наверняка помните большую утечку Мегафона, после которой резко повысился интерес к этой теме. Специалисты по интернет-безопасности говорят, что подобные инциденты случаются каждую неделю, но общественность о них не узнает. Как председатель правления банка, вы можете сказать, да или нет? Не о своём банке, в принципе для банковской системы, известны ли вам такие случаи утечек в Беларуси или других странах?

– В Беларуси (с точки зрения освещения) такого рода события не часто происходят. За рубежом это действительно если не частая, то как минимум систематическая ситуация. Крупнейшие банки мировые попадают в такие ситуации. Это, наверное, неизбежная "обратная сторона" усложнения,  появления все больших электронных сервисов. Мы не исключительны, я понимаю, что этот горький урок лучше получать на чужом примере и призываю коллег всех из банковской системы и прочих отраслей ещё больше усилить внимание к этой проблеме. Я понимаю, что мы не исключительны, и во всем мире, к сожалению , это проблема, с которой приходится бороться. Я не называю банки, потому что это некорректно. 

– Каковы будут последствия этого случая для вашего банка? Как вы собираетесь минимизировать негативный эффект?

– Очень сложно оценить их в финансовой метрике. Понятно, что это – очень негативное событие, которое серьезно влияет в целом на восприятие банка. Мы понимаем, что единственным образом бороться с этим и восстанавливать имидж можно только эффективно работая и укрепляя доверие клиентов, повышая качество работы, чтобы просто им нравилось работать с МТБанком. Другим способом сейчас действовать нельзя, поэтому мы будем просто пытаться лучше работать.

– Многие пользователи призывали к показательным поркам, увольнениям: "Когда состоится сожжение отдела безопасности банка в полном составе?". Что вы можете сказать "жаждущим крови"? Уволили кого-нибудь? Собираетесь увольнять?

– Как руководитель я не склонен к скоропалительным выводам. Однозначно: виноватые будут уволены, если их очевидная вина будет доказана. Сейчас увольнять кого-то ради того чтобы уволить, удовлетворить "кровожадность" – это самый простой, но неправильный вариант действий.  Однозначно, мы разобравшись найдем, каким способом наказать виновных. Главное – не наказать, а предотвратить следующие воздействия.

– Давайте найдем позитив в этой истории... Мы его касались: хочется верить, что теперь пользователи будут аккуратнее относиться к своей информации [...] будут задумываться о защите своих личных данных в Сети. Вероятно, задумаются банки. Где еще позитив?

– Кроме того, что задумаются банки, повторюсь, этот случай будет показательным для всех остальных обладателей какой-либо информации. Мир таков, что личная информация сосредоточена во многих организациях, фирмах, компаниях, поэтому очевидно, что всем стоит усилить свое внимание. Если это произойдет, то как минимум это уменьшит вероятность аналогичных случаев, хотя они по-прежнему будут происходить.

– Или хотя бы уменьшат серьезность их последствий.

Что ещё из позитива…

– Все писали, что "пиар", "пиар"…

– Мы бы не хотели такого рода пиара, это однозначно!  В этом смысле это точно не позитивно. Позитивно как минимум то, что нам сейчас в рамках ответного хода по восстановлению имиджа и лояльности клиентов, нам предстоит сделать для клиентов еще больше, чем мы бы сделали до этого.

– Будем надеяться, что виновные будут найдены, наказаны и подобные случаи не повторятся. Что бы вы хотели пожелать всем, кто нас сейчас смотрит, слушает и читает?

– Учитывая, что аудитория – интернет-вовлеченная, я бы хотел пожелать, несмотря на необходимость быть бдительным, контролировать размещаемую информацию, не отказываться от интернета как канала получения банковских услуг. Я верю, что интернет-банкинг и услуги через интернет будут развиваться. Я верю, что пользователи TUT.BY – потенциальные, если не существующие клиенты этих продуктов. Верю, что их число будет расти.

-15%
-10%
-15%
-30%
-20%
-25%
-10%
-11%