Банк получил огромный штраф за утечку данных по вине сотрудника

Утечка данных в Intesa Sanpaolo привела к штрафу в размере 31,8 млн евро. Утечка данных происходила в течение двух лет по умыслу сотрудника.

Итальянское управление по защите персональных данных (Garante per la Protezione dei Dati Personali) по результатам расследования, выявившего серьезные нарушения в сфере безопасности клиентской информации, оштрафовала банковскую группу Intesa Sanpaolo на 31,8 млн евро (около 36,5 млн долларов США). Дело касается несанкционированного доступа к банковской информации порядка 3500 клиентов в течение более двух лет, что вызывает новые опасения по поводу внутренних угроз в финансовом секторе.

Утечка данных, о которой компания Intesa Sanpaolo сообщила в июле 2024 г., оказалась гораздо более серьезной, чем предполагалось изначально. Регуляторы установили, что один из сотрудников банка получил доступ к конфиденциальным банковским данным 3573 клиентов без какой-либо служебной необходимости, совершив более 6600 запросов к системе в период с февраля 2022 г. по апрель 2024 г.

Внутренний доступ, отсутствие раннего обнаружения

В истории с утечкой данных клиентов Intesa Sanpaolo обращает на себя внимание не только то, что она связана с несанкционированным доступом, но и то, как долго он оставался незамеченным.

По данным Итальянского управления по защите данных, внутренние системы мониторинга банка не смогли выявить многократный несанкционированный доступ. Недобросовестный сотрудник просматривал данные на протяжении многих месяцев, что говорит о явных пробелах организации в отслеживании действий персонала.

Кроме того, среди лиц, к чьим данным получил доступ нарушитель, оказались известные персоны, включая общественных деятелей и крупных политиков. Как правило, профили таких клиентов требуют более строгого контроля, но расследование показало, что Intesa Sanpaolo не использовала такие меры или они не были эффективными.

Регулятор указывает на нарушения GDPR

Управление пришло к выводу, что инцидент в Intesa Sanpaolo нарушил ключевые положения GDPR, в частности, касающиеся целостности данных, их конфиденциальности и подотчетности.

Представители регулятора заключили, что в основе проблемы лежала модель доступа в банке. Сотрудники могли запрашивать данные клиентов по всей системе без достаточных ограничений. Хотя такие системы обычно разрабатываются с учетом требований операционной гибкости, эксперты управления по защите данных отметили, что такие системы должны быть подкреплены надежными средствами контроля, которых в данном случае не было.

Расследование показало, что в Intesa Sanpaolo есть широкие недостатки как в технических мерах защиты, так и плане организационного надзора.

Задержки в уведомлении о нарушении безопасности данных

Критике регулятора также подверглась реакция банка на инцидент информационной безопасности. Власти обнаружили, что уведомление об утечке данных было неполным и запоздалым, не соответствующим требованиям законодательства.

Информирование клиентов стало еще одним слабым местом Intesa Sanpaolo. Многих пострадавших банк проинформировал об инциденте только после вмешательства регулятора в ноябре 2024 года, спустя несколько месяцев после того, как проблема стала известна.

Эта задержка ограничила возможности клиентов по своевременной защите данных, что также повлияло на размер штрафа.

Масштаб утечки данных вызывает опасения

Расследование показало, что виновник инцидента получил доступ не только к данным тысяч обычных клиентов банка, но и к информации ряда политиков, общественных деятелей и сотрудников банка.

Скомпрометированная информация включала личные идентификационные данные, а также финансовые данные, такие как активность по счетам и информация о платежных картах.

Хотя банк заявил об отсутствии доказательств скачивания или неправомерного использования данных, регулирующие органы подчеркнули, что сам по себе несанкционированный доступ представляет собой серьезное нарушение GDPR.

Реакция банка, ужесточение контроля

Компания Intesa Sanpaolo после инцидента ИБ предприняла корректирующие шаги. Банк заявил, что уволил причастного к утечке данных сотрудника и ввел более строгий контроль доступа к данным.

Новые меры безопасности включают в себя обязательное требование обоснования доступа сотрудника к данным клиентов за пределами закрепленных за ним портфелей, более совершенные системы оповещения для обнаружения необычной активности и дополнительные уровни авторизации.

В ходе расследования банк заявлял, что не все утечки можно предотвратить и что его системы в конечном итоге обнаружили аномальную активность в системе. Однако регулирующие органы настаивали на том, что задержка в выявлении инцидента и масштаб утечки данных указывают на более глубокие проблемы организации.

Серьезный сигнал банковскому сообществу

Утечка данных в Intesa Sanpaolo подчеркивает постоянную проблему для финансовых учреждений -  риски, связанные с умышленными действиями внутренних нарушителей.

Даже при наличии мер защиты информации сотрудники, имеющие доступ к системе, могут злоупотреблять этим доступом, если контроль недостаточно строг или не подкреплен средствами активного мониторинга. Этот случай показывает, что соответствие требованиям защиты данных заключается не только в наличии систем, но и в обеспечении их практической эффективности.

Для банковского сектора в целом этот инцидент дает четкий сигнал. Мониторинг не может быть пассивным, а доступ не может быть чрезмерно широким. Без обеспечения баланса даже крупные учреждения с устойчивыми системами рискуют столкнуться с аналогичными мерами регулирования.

Источник: The Cyber Express