Зачем нужна безопасность в банке
Служба безопасности банка – структура с большой ответственностью. Она обеспечивает порядок и стабильность работы, защищая не только банк, но и клиентов. В обязанности службы безопасности входят следующие функции:
• Предотвращение мошеннических случаев с финансовыми документами; • Защита личной информации клиентов и банка; • Контроль работы и проведения операций; • Охрана имущества и сведений банка.
Работа службы безопасности банка:
Наиболее часто случаи мошенничества возникают в сфере кредитования. Злоумышленники готовы на разные ухищрения, поэтому сотрудникам службы безопасности необходимо всегда быть начеку и обращать внимание на самые мелкие детали. Служба безопасности выполняет множество сложных задач, в числе которых проверка достоверности предоставленных клиентом сведений и документов. Это позволяет своевременно отреагировать и принять превентивные меры.
При этом скорость обналичивания в России выросла в несколько раз: если 3 года назад вывод суммы в 200 млн руб., в среднем, занимал около 25-30 часов, то в 2018-м году компания столкнулась с прецедентом, когда такая же сумма была обналичена менее чем за 15 минут единовременно, в разных городах России.
Анализируя данные, полученные в рамках реагирований на киберинциденты, эксперты пришли к выводу, что 74% атакованных в 2018 году банков не были готовы к хакерским атакам: более 60% не способны централизованно управлять свой сетью, особенно, в территориально распределенной инфраструктуре, около 80% не имеют достаточной глубины журналирования событий протяженностью более месяца, более 65% тратили на согласование работ между подразделениями более 4 часов.
Зачем нужна безопасность в банке
Именно эту функцию выполняет служба безопасности банка, представляющая собой особую структуру, деятельность которой зачастую остается невидимой для клиентов. Несмотря на это работа службы безопасности является сложной и многогранной.
offbank.ru
Как устроена служба безопасности
При оформлении кредита все вопросы решаются с помощью кредитного менеджера. Он осуществляет прием заявок, занимается подписанием кредитных договоров.
А сотрудников службы безопасности можно назвать «серыми кардиналами», поскольку многие заемщики не замечают их работы.
Служба безопасности должна использовать возможности и службы внутреннего контроля, и службы управления рисками, и юридического департамента, и каждого функционального подразделения банка.
При таком подходе неизбежно возникает кадровая проблема: взять экономиста и научить его вопросам безопасности или взять оперативника и дать ему второе высшее экономическое образование? В результате многолетних экспериментов на этом поле я пришел к выводу: если это функциональное подразделение, то лучше взять экономиста и научить его основам безопасности банка, основам оценки рисков и предотвращения ущерба.
Более четверти респондентов видят для себя необходимость в замене используемых средств защиты при переходе на новые инфраструктуры (облака, микросервисы и пр.), где используемые решения перестают быть эффективными.
Заметную роль при принятии решения об обновлении используемых средств защиты играет вопрос происхождения закупаемых продуктов: около 13% респондентов ответили, что в первую очередь склонны заменять импортные решения на российские аналоги.
Приобретение решения WAF
В качестве основного фактора для покупки решения WAF респонденты отметили защиту от уязвимостей 0 дня – 37%. Такой возможностью обладают только решения нового поколения, использующие бессигнатурный подход для детектирования атак.
Разумеется, человек или организация не может организовать для себя совершенно безопасное пространство, всегда будут актуальными какие-то угрозы. Простейшая угроза — кирпич может свалиться на голову.
Существуют две основные категории рисков: риски-опасности и риски-возможности. Падение на голову кирпича или нападение преступника в подъезде — это как раз риски-опасности, они существуют всегда и независимо от нашей воли.
Мы не можем управлять этими рисками — можем только предупреждать возможность влияния этих рисков на нашу жизнь и деятельность, ограничивать их разрушительное воздействие. Образно выражаясь, можно надеть каску или не ходить там, где падают кирпичи, и голова будет цела.
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375)Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (Зарегистрировано в Минюсте России 18.08.2014 N 33620)Указание Банка России от 10 декабря 2015 г.
3 октября 2019 года стало известно, что исследователи из Чешского технического университета, Национального университета Куйо (Аргентина) и компании Avast обнаружили один из банковских ботнетов, получивший название Geost. Жертвами вредоносной кампании стали по меньшей мере 800 тыс.
владельцев Android-устройств в РФ, в частности злоумышленники получили доступ к их банковским счетам, на которых в общей сложности хранилось несколько миллионов евро. Подробнее здесь.
ЦБ: резко растёт число мошеннических звонков с подменой номеров банков
27 сентября 2019 года стало известно об участившихся в России мошеннических звонков с подменой номера банка.
Это, обычно, является одним из основных требований, предъявляемых банком к потенциальным сотрудникам, при их трудоустройстве в указанную структуру.
Служба безопасности также проверяет кредитные истории клиента, причем не только в своем банке, но и в других (если она имеется). С этой целью формируются запросы в бюро кредитных историй, используются сведения собственных баз, в которых отражены данные о всех недобросовестных плательщиках.
Наиболее полная картина о финансовой платежеспособности заемщика составляется посредством сотрудничества со сторонними организациями, к примеру, налоговыми и другими банками.
Этот риск никак не управляется банком, не зависит от действий банка, он может никогда не реализоваться, но угроза жизни людей заставляет всегда быть в готовности к нападению.
Вторая по затратности статья связана с предотвращением готовящихся мошеннических действий и локализацией выявленных, с розыском мошенников, с возвратом похищенного. Все это включает как розыскную, так и широкую информационно-аналитическую работу.
Третья статья — это судебные, процессуальные и иные подобные расходы, связанные с возмещением ущерба.
А четвертая — расходы на службу безопасности банка по охране помещения и руководства банка.
Предотвращение остальных угроз обходится банку гораздо дешевле.
В ВТБ фотографирование на объектах банка разрешается только по согласованию с ответственными подразделениями.
Запрет объясняют тем, что сотрудники нередко фотографируют личные данные клиентов, чтобы затем продать их на чёрном рынке, где на них есть спрос со стороны мошенников. По информации издания, цена на персональные данные может варьироваться от 800 до 8000 рублей.
Заместитель главы лаборатории компьютерной криминалистики Group-IBСергей Никитин пояснил, что мошенники размещают объявление в даркнете, чтобы выяснить баланс карты жертвы, паспортные данные и другое.
По словам эксперта, распространенность фотографирования экранов можно объяснить тем, что компании стали вводить системы защиты от внутренних угроз и утечек, поэтому сотрудники просто фотографируют экран.