Годовой отчет Сбера за 2020 год
Ответственность перед клиентами
Кибербезопасность, защита данных и предотвращение мошенничества
258
В связи с интенсивным развитием экосистемы Сбер создает
защищенный контур обмена данными с входящими в нее
компаниями на базе облачной платформы SberCloud. Обмен
данными в экосистеме строится на принципах строгого
соответствия законодательным требованиям и применения
новейших средств защиты информации. Стандартизация
подходов к обеспечению безопасности передачи данных
для всех компаний экосистемы позволила минимизировать
риски перехвата при передаче коммерческих и персональных
данных. Для всех компаний экосистемы Сбера создан ряд
уникальных объединяющих сервисов, что позволяет
значительно снизить операционные расходы
на IT-инфраструктуру и ее защиту.
ОБМЕН ДАННЫМИ МЕЖДУ
КОМПАНИЯМИ ЭКОСИСТЕМЫ СБЕРА
ВЛИЯНИЕ COVID НА
ИНФОРМАЦИОННУЮ
БЕЗОПАСНОСТЬ И ЗАЩИТУ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Аудит соответствия порядка обработки и защиты
персональных данных требованиям законодательства
и внутренним документам банка осуществляется
Управлением внутреннего аудита. Проверки проводятся во
время ревизий подразделений Сбера.
В рамках планового и внепланового контроля офис DPO
анализирует существующие процессы, уделяя особое
внимание сбору персональных данных, их передаче третьим
лицам, своевременному прекращению обработки и
уничтожению персональных данных. В некоторых процессах
функции контроля обработки персональных данных
переводятся в автоматический режим.
Для предотвращения утечки данных Сбер внедряет
передовые технологические решения. В частности,
в 2020 году реализована крупнейшая в стране инсталляция
системы защиты от утечек (Data Leak Prevention, DLP),
в результате чего контроль над утечками конфиденциальной
информации охватывает более 180 тыс. рабочих мест. За год
эксплуатации системы выявлено 896 нарушений, по всем без
исключения случаям применены меры ответственности,
из них 751 — дисциплинарное взыскание по ст. 192 Трудового
кодекса Российской Федерации.
АУДИТ СОБЛЮДЕНИЯ ТРЕБОВАНИЙ
К ХРАНЕНИЮ И ПРЕДОТВРАЩЕНИЕ
УТЕЧКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Сбер в кратчайшие сроки разработал безопасное решение,
позволившее сотрудникам перейти на дистанционный режим
работы с минимальными рисками, обеспечив непрерывную
деятельность банка.
СберБанк определил перечень систем, критичных с точки
зрения удаленного доступа. Работники разделены на группы
доступа в зависимости от объема и категории информации,
к которой имеется доступ. В процессе рассматривались два
ключевых «стоп-фактора», которые считались препятствием
для перевода сотрудников на удаленную работу. Первый —
вся работа с персональными данными клиентов и банковской
тайной выполняется только из офисов СберБанка. Второй —
только из офисов выполняются критичные транзакции:
операции на финансовых рынках, финансово-торговые и
расчетные операции, проведение платежей. При переводе
некритичных функций на дистанционной режим отработаны
технологии их надежной киберзащиты.
Пандемия позволила пересмотреть подход к обработке
персональных данных клиентов, что сделало возможным
постоянную удаленную работу для части сотрудников
без риска для безопасности клиентских данных. Например,
для исследовательских процессов стали использоваться
обезличенные персональные данные, а для операторов,
оказывающих поддержку клиентам, разработаны новые роли
в автоматизированных системах с доступом только к имени
клиента.
Опыт срочного перевода на удаленный режим работы
показал, что существующая система кибербезопасности
Сбера готова к внеплановой трансформации бизнеса. Все
критичные функции осуществлялись и продолжают
осуществляться без простоя.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
За организацию обработки и защиты персональных данных
в Сбере отвечает Data Protection Officer (DPO),
а организация соответствующей функции
в бизнес-подразделениях осуществляется кросс-блочными
командами DPO. Благодаря такому подходу экспертизой
охвачены все процессы и продукты Сбера с этапа зарождения
идеи до момента прекращения обработки и уничтожения
данных. Процедура обработки и защиты персональных
данных соответствует одновременно требованиям
российского и европейского (Общий регламент по защите
данных, GDPR) законодательства.
Система информационной безопасности Сбера непрерывно
совершенствуется с учетом лучшей мировой практики,
а эффективность принятых мер по обеспечению безопасности
персональных данных регулярно оценивается
в установленные законодательством сроки.
Биометрическая идентификация позволяет кардинально
улучшить клиентский опыт в ходе получения самых разных
услуг. При этом любая технология сопряжена с рисками
кибербезопасности, что особенно актуально в условиях
стремительного развития технологий искусственного
интеллекта с синтезом изображений и речи. Из-за
повышенных рисков атак против использующих биометрию
систем Сбер использует биометрию для критичных операций
или услуг только в качестве дополнительного фактора
аутентификации.
Для минимизации рисков современные биометрические
алгоритмы работают не с исходными биометрическими
данными, а с полученными из них дескрипторами (слепками,
шаблонами), из которых нельзя восстановить информацию о
реальном человеке.
Дескрипторы хранятся в Сбере отдельно от персональных
данных, позволяющих идентифицировать человека, и связь
между ними осуществляется лишь через обезличенный
идентификатор. Извлечь пользу из дескрипторов вне
информационной системы банка невозможно, но даже к ним
применяется полный комплекс мер, предусмотренный
режимом защиты персональных данных.