Шифры, контроль персонала и белые хакеры: как Moneyveo, Vodafone и Interkassa защищают ваши данные

Бизнес хранит терабайты данных о своих клиентах: имена, фамилии, номера телефонов, реквизиты банковских карт. Если эта информация попадет к хакерам, они смогут похитить деньги с личных счетов пользователей.

В партнерском материале с Moneyveo MC Today выяснял, как различные украинские сервисы защищают финансовые данные клиентов и могут ли кибермошенники украсть такую информацию.

Какие бывают угрозы

«Эксперты по безопасности шутят, что все компании делятся на два типа: те, которые уже взломали, и те, которые взломают в будущем», – улыбается Александр Смычников, директор по бизнес-консалтингу компании по кибербезопасности 10Guards.

Самые лакомые для хакеров – международные компании, такие как Booking или Uber. А все потому, что им передают личные данные, в том числе информацию о платежных картах, миллионы людей. К примеру, в 2016 году хакеры похитили данные 57 млн пользователей Uber и шантажом вынудили компанию заплатить $100 тыс.

Украинские компании вряд ли заинтересуют хакеров мирового уровня, но и в нашей стране немало кибермошенников. Только в 2018 году полиция раскрыла около тысячи преступлений в сфере кибербезопасности. При этом подсчитать точное число инцидентов невозможно. «Больше половины происшествий остаются в тени. Компании не хотят портить свою репутацию, а потому не заявляют об атаках публично», – объясняет Смычников.

Крупный украинский бизнес действуют на опережение и создает команды специалистов, которые отвечают за информационную безопасность. Прежде всего это касается финтех-компаний, которые работают с банковскими данными.

Как финтех-компании хранят данные

Все компании, которые принимают и хранят карточные данные клиентов, обязаны придерживаться международного стандарта PCI DSS, который разработан при участии лидеров отрасли – Visa и Mastercard. В числе требований – шифрование данных карт, разграничение доступов сотрудников и даже физическая безопасность помещения.

Сервис онлайн-кредитования Moneyveo запрашивает у клиентов номер карты, срок ее действия, CVV2-код, а также имя и идентификационный номер владельца. Все эти данные, кроме CVV2, в зашифрованном виде передаются из веб-страницы в систему, которая установлена на серверах компании.

CVV2 нужен на короткое время – для передачи данных карты платежной системе, чтобы подтвердить транзакцию. Он попадает в специальную защищенную базу данных и удаляется либо сразу после ответа от платежной системы, либо через 30 минут. Такой механизм хранения – одно из требований PCI DSS.

Вся база с информацией о 520 тыс. клиентов Moneyveo занимает около 3 Тб. Еще 5-8 Тб – сканкопии финансовых документов.

«Информация шифруются 1024-битным ключом. Если база данных попадет к хакеру, ему понадобится 10-15 лет работы, чтобы открыть карточные данные», – говорит IT-директор компании Григорий Лисничий.

В прошлом году Moneyveo и 350 человек стали жертвами махинаций. Преступники нашли в открытом доступе ФИО и идентификационные номера, оформили кредиты на их обладателей, а деньги получили на свои карты.

В результате жертвы мошенников, сами того не зная, остались должны сервису. В Moneyveo аннулировали их кредитные договоры и очистили кредитные истории. И после этой истории ввели еще один уровень защиты. Для этого разработали систему, которая автоматически направляет запрос в банк пользователя и подтверждает данные.

Агрегатор платежных систем Interkassa позволяет бизнесу принимать онлайн-платежи на своем сайте в любой форме и валюте. «У компании около 50 тыс. активных пользователей, они совершают более 3 млн оплат в месяц», – рассказывает  операционный директор компании Павел Павловский.

В момент оплаты сервис запрашивает у покупателей данные карты и в зашифрованном виде передает их в банк. При этом в базе данных компании хранится только зашифрованная «маска» карты: первые 6 и последние 4 цифры. Даже если хакер перехватит эту информацию, он не сумеет ей воспользоваться для похищения средств.

Как компании защищаются от утечек

По словам Александра Смычникова, утечка может исходить и изнутри компании. В зоне риска – малый бизнес, где привыкли все строить на доверии и вовремя не ввели разграничения доступа к данным для разных сотрудников.

В Moneyveo внедрили сразу несколько защит от инсайдерского хищения. Список сотрудников, которые имеют доступ к данным клиентов, строго регламентирован. При этом специалист видит только те данные, которые ему нужны для рабочей задачи. Например, если менеджер просматривает количество обработанных заявок, он видит ФИО клиентов, но не видит данные по их картам.

Все запросы сотрудников записываются. К тому же, в один момент времени менеджер может просматривать данные только одного клиента. Эта мера помогает исключить утечку базы целиком.

Также система автоматически фиксирует подозрительную активность сотрудников. Например, действия системного администратора в нерабочее время или запрос данных, которые не нужны сотруднику для рабочих задач.

Как обеспечить безопасное хранение

Во всем мире главная причина утечек данных – халатность сотрудников, говорит директор по бизнес-консалтингу 10Guards. Например, компания зашифровала базу данных, но при этом ключ шифрования остался лежать на том же сервере. «Это готовый подарок хакеру», – предупреждает Смычников.

Комплексную систему для безопасного хранения данных построил мобильный оператор Vodafone. Компания хранит информацию о номере телефона, истории звонков и интернет-сессии абонентов. У контрактных или зарегистрированных клиентов – еще и паспортные данные.

Базу данных разделили на несколько отдельных сегментов. «У нас нет одной большой базы, которую можно похитить. Все сегменты – как водонепроницаемые отсеки в подводной лодке», – утверждает Алексей Лукин, руководитель отдела информационной безопасности Vodafone Ukraine.

Получить доступ к таким базам могут только авторизованные сотрудники и только изнутри корпоративного периметра сети. При этом они проходят несколько авторизаций. То есть даже если злоумышленник проникнет в корпоративную сеть, он не получит доступ к конфиденциальной информации клиентов.

Также в компании шифруют информацию на съемных носителях и автоматически проверяют все интернет-соединения, чтобы в корпоративную сеть не проникли вирусы.

Случаи, когда абоненты Vodafone получают рассылки, на которые не подписывались, Лукин объясняет невнимательностью. «Заполняя анкеты в магазинах, люди часто не читают условия или не обращают внимание на текст мелким шрифтом. Так сервисы и получают согласие клиента на рекламную рассылку – свою и партнеров», – говорит он.

Зачем нужны услуги белых хакеров

В прошлом году Interkassa создала клон финансовой платформы и предложила белым хакерам его взломать. За каждую удачную атаку платили от $100 до $500. «Критических уязвимостей выявлено не было. Все ошибки мы устранили буквально за несколько дней», – вспоминает Павел Павловский.

Затем Interkassa предложила атаковать настоящий сайт. Операционный директор утверждает, что никто из хакеров не сумел этого сделать.

В Moneyveo тест на проникновение делают каждые три месяца, а также после всех обновлений системы. По словам IT-директора Григория Лисничего, иногда при таких тестах находят мелкие уязвимости, но критических не было.

Например, недавно после планового обновления системы обнаружили уязвимость, которая позволила бы злоумышленникам создавать нагрузки на серверы компании. Обновление сразу откатили назад и за день исправили ошибки.

Сколько стоит информационная безопасность

Главная статья расходов по информационной безопасности – зарплаты специалистов. По данным DOU, они получают $1-3 тыс. в месяц. «В Украине хватает технически подкованных ребят, но, к сожалению, не все компании готовы брать в штат эксперта по безопасности», – сетует Александр Смычников.

С ним согласен Алексей Лукин из Vodafone Ukraine. По его словам, часто в малом и среднем бизнесе за защиту от киберугроз отвечают обычные системные администраторы. Об эффективности такого подхода красноречиво свидетельствовал вирус «Петя».

Компания Moneyveo в 2018 году выделила на безопасность 34% от всего бюджета на IT. Из общения с коллегами по рынку Григорий Лисничий заключает, что это намного больше среднего. По его данным, в большинстве других украинских компаний этот показатель не превышает 5-10%.

В Interkassa на защиту данных тратят около $100 тыс. в год. В эту сумму входят подтверждения сертификатов безопасности, регулярное сканирование на наличие уязвимостей, усовершенствование функционала, тренинги и обучение сотрудников.

«Дисциплина в вопросе безопасности предотвращает ошибки, а значит, экономит деньги», – уверен операционный директор Павел Павловский.