В данной статье рассматривается одно из наиболее главных подразделений в организационной структуре банка — служба безопасности банка, а именно ее основные функции, такие как: выявление и предотвращение разного рода мошеннических действий, защита и охрана персональных данных клиентов, контроль работы и проведения операций, охрана имущества и сведений банка.
Ключевые слова: персональные данные, утечка, мошенничество в банковской сфере, служба безопасности банка.
В настоящее время все более актуальной становится проблема мошенничества и утечки персональной информации клиентов банков. Практически каждый день в новостях сообщают о том, что очередной клиент пообщался с «сотрудником» банка и расстался с определенной суммой денег. А примерно раз в месяц средства массовой информации рассказывают о «новом способе мошенничества», который изобрели злоумышленники. Однако на самом деле ничего нового в этих способах нет. Вся новизна состоит лишь в объеме подробностей о жертве, которые теперь мошенники используют для своих манипуляций. Это все делает их атаки более точечными и действенными.
Положения о банковской тайне закреплены как в Гражданском кодексе Российской Федерации, так и в Федеральном законе от 02.12.1990 г. N 395–1 «О банках и банковской деятельности». В них указано, что банк гарантирует тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Кроме того, все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит законодательству Российской Федерации. Сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям, а также представлены в бюро кредитных историй только на основаниях и в порядке, предусмотренных Федеральным законом от 30.12.2004 г. N 218-ФЗ «О кредитных историях». Также в исключительных случаях сведения могут быть предоставлены государственным органам и их должностным лицам. Так почему же происходит утечка персональных данных клиентов и какое подразделение в организационной структуре банка должно следить за соблюдением банковской тайны?
Для любого банковского учреждения служба безопасности банка представляет собой чуть ли не самое главное звено. Ее создание начинается с внесения соответствующего положения в Устав банка и принятия внутреннего нормативного акта — Устава (положения) о службы безопасности банка, которым регламентируются цели и задачи службы, организация ее деятельности, требования к руководителю и сотрудникам, а также их права и обязанности. Положение о службе безопасности банка утверждается советом директоров банка, в то время как руководитель службы безопасности назначается и освобождается от должности органом управления банка.
При этом необходимо отметить, что наряду со штатными подразделениями банк может создавать нештатные структуры службы безопасности в виде временных или постоянных комиссий из сотрудников других структурных подразделений, выполняющих экспертные и контрольно-ревизионные функции (комиссии по защите банковской тайны, проверки конфиденциального делопроизводства, проведению внутреннего расследования нарушения требований банковской безопасности и др.)
В функции службы безопасности банков входит прежде всего решение вопросов с недобросовестными потенциальными заемщиками, предотвращение мошеннических схем, нормализация работы всего предприятия путем обеспечения безопасности как самих клиентов, так и непосредственно банка и его сотрудников. Так по какому же принципу строится работа службы безопасности банка?
Работа банковской службы безопасности направлена на:
- Обеспечение охраны имущества, зданий, помещений, оборудования, технических средств обеспечения банковской деятельности;
- Защиту информации (банковской, коммерческой, налоговой тайны, иных сведений ограниченного доступа, компьютерной информации) и информационной инфраструктуры;
- Разработку и реализацию мер профилактики противоправных посягательств на интересы банка;
- Организацию взаимодействия с правоохранительными органами в сфере обеспечения банковской безопасности;
- Обеспечение безопасности банковских операций;
- Защиту систем кадрового обеспечения банка и др.
Исходя из этого можно подчеркнуть, что служба безопасности банка контролирует чуть ли не все сферы его деятельности. Однако зачастую работа службы безопасности остается невидимой для клиента.
Так, например, заемщик, получая кредит, как правило, работает только с кредитным специалистом банка. Заемщик может столкнуться со службой безопасности лишь в нескольких случаях, таких как:
- Выезд кредитного специалиста или представителя службы безопасности банка для оценки состояния имущества, которое передается банковскому учреждению в качестве залога;
- Звонок представителя службы безопасности, позволяющий получить больше информации о личных данных клиента, указанных в профиле анкеты.
Представители службы безопасности также проверяют достоверность предоставленных документов, справок, сведений с места работы — это все также представляет собой важнейший момент, позволяющий пресечь использование преступных схем со стороны злоумышленников. К сожалению, существует достаточное количество недобросовестных граждан, желающих нажиться на чужой неосмотрительности (потерянных документах и т. д.), а потому сотрудники службы безопасности банка заботятся о принятии предупредительных мер, активно помогая следственным органам в выявлении недобросовестных лиц. Кроме того, с этой целью сотрудники службы безопасности разных банков часто неофициально взаимодействуют между собой для обмена полезной информации друг с другом. Также они могут передавать в другие банки сведения о недобросовестных заемщиках. Само собой разумеется, что подобные действия со стороны сотрудников службы безопасности носят неофициальный характер и в какой-то степени нарушают законодательство, однако отлично способствуют выявлению недобросовестных клиентов еще на начальных стадиях сотрудничества.
Так если данный «страж» контролирует чуть ли не все стороны работы банка, почему учащаются случаи незаконного распространения сведений клиентов и как на это может повлиять служба безопасности?
Как бы странно это не звучало, но самая частая причина утечек — это низовой персонал, т. е. подкуп злоумышленниками сотрудника организации для получения доступа к данным клиентов, поскольку банк представляет собой достаточно большую структуру с множеством отделений в регионах, где у людей небольшие зарплаты и их достаточно легко коррумпировать. Там люди готовы идти на преступления за небольшие деньги.
На так называемом черном рынке есть разнообразные базы данных клиентов банков, начиная от самых ценных, содержащих все данные о человеке: его номер телефона, номер счета и номер карты, а также конкретную информацию о его счете, такую как, например, остаток средств, заканчивая самыми «скучными», включающими лишь данные человека, его номер телефона и наименование банка, которым он пользуются.
После того, как база данных попадает к мошенникам, они начинают заниматься «социальной инженерией»: используя подменный номер телефона, звонят клиентам, представляются сотрудниками банка и говорят, что со счетом происходит что-то странное. Они называют фамилию, имя и отчество клиента, его номер счета и остаток на карте, т. е. пытаются полностью войти в доверие, чтобы получить недостающую информацию и снять денежные средства.
И в случае, если произошла утечка персональных данных, то максимум, что клиент может сделать — это подать на банк в суд. И опять же, основная проблема в борьбе с утечками состоит в наказании за них. Сотрудники банков, которые «сливают» данные, получают штрафы и максимум условный срок. Другими словами, в Российской Федерации закон о персональных данных устроен так, что тем, кто допускает утечки данных, практически ничего не бывает, поскольку никто не проводит тщательные расследования и не выплачивает огромные суммы штрафов.
Безусловно, что слив информации сотрудниками банков это недоработка прежде всего службы безопасности банка, поскольку именно она должна в первую очередь осуществлять проверочную деятельность в целях:
- Выявления в действиях сотрудников банка фактов грубых нарушений порядка обеспечения безопасности банка и клиентов, установленного внутренними нормативными актами;
- Выявления и перекрывания возможных каналов утечки сведений ограниченного доступа, циркулирующих в технических средствах и помещениях банка;
- Выявления биографических и других характеризующих данных в отношении лиц, заключающих трудовой договор с банком или оформляющих допуск к работе с денежными средствами и охраняемой информацией.
Кроме того, служба безопасности обязана осуществлять контроль за соблюдением ограниченного доступа персонала в помещения, предназначенные для хранения и обработки денег и других ценностей, документов ограниченного доступа, обработки, хранения и передачи компьютерной информации.
То есть службы безопасности банков обязаны следить за персоналом своих банков, допускать к работе только тех людей, которые прошли соответствующую проверку и в которых они уверены на 100 %.
Еще одним способом получения доступа к чужим персональным данным является взлом баз данных банков. Ненадежная, устаревшая защита от угроз или просто еще не исправленный баг в системе, о котором никто и не знал до инцидента — все это также может привести к утечке данных. Служба безопасности банка обязана выявлять наиболее уязвимые объекты обеспечения безопасности банка, оценивать степень их защищенности от угроз противоправного посягательства, а также постоянно разрабатывать средства и методы повышения надежности защиты конкретных участков деятельности банка.
Мне кажется, что службе безопасности не выделяется достаточного количества средств для решения проблем с утечкой персональной информации клиентов, поскольку как уже отмечалось ранее легче заплатить штраф несколько сотен тысяч, чем потратить сотни миллионов на борьбу с утечками, совершенствование систем безопасности и увеличение контроля за всем этим.
В связи с вышесказанным возникает соответствующий вопрос: почему служба безопасности, зная об утечке данных, не связывается с клиентами, чтобы сообщить им о проблеме и предупредить, что они могут попасть под уловку мошенников?
По моему мнению такое предупреждение уже многое бы решило. Сам же клиент банка может быть только осторожнее и внимательнее, если увидел новость о своем банке. И понимать, что ему могут позвонить мошенники.
Также следует отметить, что злоумышленники могут получить доступ к чужим персональным данным не только по вине банка, но и по вине самого клиента.
Так, одним из способов утечки является так называемые фишинговые рассылки, т. е. рассылка мошеннических сообщений, источник которых кажется надежным. Так, к примеру, аккаунт друга клиента украли и с него организовали фишинговую рассылку по его кругу общения. Данный метод является достаточно эффективным, потому что последующим жертвам пишут от лица знакомого человека.
В данном случае утечка персональных данных происходит по вине самого клиента и зачастую служба безопасности банка здесь бессильна. Надежда на нее возможна только в том случае, если она заметит подозрительные операции с украденным счетом, свяжется с клиентом и, убедившись в том, что данные операции выполняет не он, пресечет их.
Таким образом, полностью предотвратить утечку персональных данных клиентов банков практически невозможно, поскольку, как уже отмечалось, иногда и сами пользователи могут оставить очень много лишней информации о себе на каких-либо сторонних сайтах. Однако минимизировать данную проблему, по сути, можно с помощью двух необходимых элементов: качественных программных комплексов для защиты данных и профессиональной службы безопасности, которая своевременно и должным образом будет реагировать на произошедшие утечки и подозрительные операции и оперативно принимать соответствующие меры.
Литература:
- Гамза В. А. Безопасность банковской деятельности: учебник для вузов / В. А. Гамза, И. Б. Ткачук, И. М. Жилкин — 3-е изд., перераб. и доп. — Москва: Юрайт, 2017. — 513 с.
- Гамза В. А. Основы банковского дела: безопасность банковской деятельности: учебник для среднего профессионального образования / В. А. Гамза, И. Б. Ткачук, И. М. Жилкин. — 5-е изд., перераб. и доп. — Москва: Юрайт, 2020. — 455 с.
- Букин С. О. Безопасность банковской деятельности: учебное пособие // Издательский дом: Питер, 2011. — 288 с.
