Из исследования «Ростелекома» об особенностях защиты конфиденциальной информации в финансовом секторе следует, что чаще всего за утечку корпоративной информации из банков наказывают сотрудников. Более чем в 70% случаев утечка приводит к применению дисциплинарных взысканий к виновным сотрудникам, в том числе и к увольнению. Только в 20% случаев масштабные утечки в банках обернулись для них крупными штрафами со стороны регуляторов. В 10% утечек не был наказан ни сам банк, ни его сотрудники, говорится в исследовании. Исследование проводилось путем опроса специалистов по информационной безопасности финансовых организаций с марта по июнь.
Чаще всего утечки в финансовой сфере происходят через личную почту и облачные хранилища, на них приходится около 35% от всех инцидентов. Еще 28% утечек было совершено через мессенджеры, и 24% — через корпоративную почту.
Только 15% утечек не были связаны с интернетом: они могли производиться через печать документов (5%), кражу данных с помощью съемных носителей (5%). На внутренние системы банка пришлось всего 5% утечек. Всего в 2020 году, по данным InfoWatch, число утечек из российских финансовых организаций выросло на 36,5%, тогда как во всем мире снизилось на 7,3%
В 60% случаев, по данным «Ростелекома», были скомпрометированы персональные данные клиентов и сотрудников финансовых организаций, еще в 30% — злоумышленники крадут данные платежных карт. Менее чем в 10% инцидентов достоянием мошенников становится коммерческая информация банка.
Чаще всего в утечках из банков виноваты внутренние нарушители — более 80% инцидентов в прошлом году произошли по их вине, тогда как в мире этот показатель составил немногим более 50%. В России базы данных клиентов часто утекают в результате действий сотрудников банка, которые незаконно подрабатывают на сервисы «пробива». В первую очередь речь идет об администраторах баз данных, операционистах, менеджерах по продажам.
В России операторы персональных данных не обязаны сообщать надзорным органам и пострадавшим лицам об утечках. Это часто не дает возможности доказать факт утечки. Ответственность за нарушение законодательства о персональных данных может быть административной с наказанием до 12 тыс. руб. для граждан и до 300 тыс. руб. для юрлиц.
