Open data: Сбербанк предлагает делиться данными клиентов

Open data: Сбербанк предлагает делиться данными клиентов

Open data: Сбербанк предлагает делиться данными клиентов

Сбербанк предложил бизнесу обмениваться клиентской информацией. Открыть друг другу данные смогут банки, маркетплейсы и телеком. Эксперты предупреждают в таких сценариях о рисках утечек и нарушении права на конфиденциальность.

На тему возможного обмена данными говорили на конференции “Финтех”, организованной “Ведомостями”. Сбербанк выступает за внедрение открытых интерфейсов (open API) в виде модели открытых данных.

“Open banking, о котором мы сейчас говорим, – это хорошая тема, но она уже уходящая, следующая тема – это open data”, — заявил первый зампред правления Александр Ведяхин.

Если поднимать вопрос об обмене данными, то нужно сразу делать его возможным всем со всеми, считает топ-менеджер.

У телекомов и маркетплейсов огромное количество клиентской информации, которая может быть полезна банкам и страховщикам. То же самое относится и к данным, собираемым финансовыми институтами. По мнению Сбербанка, open data позволят людям быстро и просто применять любые платежные инструменты на маркетплейсах.

Anti-Malware.ru попросил экспертов по информационной безопасности прокомментировать эту новость.

С коммерческой стороны это начинание имеет множество положительных моментов как для клиентов, так и для представителей бизнеса, говорит главный специалист отдела комплексных систем защиты информации компании “Газинформсервис” Дмитрий Овчинников.

Но с точки зрения информационной безопасности подобный обмен данными несет в себе определенные риски, продолжает эксперт.

Любые каналы обмена информации — это увеличение “поверхности” атаки и возможности утечки данных. Чем больше участников в подобном обмене, тем выше вероятность, что данные “утекут” за пределы организаций.

Но даже если добиться полностью защищенного обмена, все упирается в надежность хранения данных у конкретных участников бизнес-процесса.

И вот в таком случае, уровень максимальной защиты этих данных будет равен силе защиты самого слабого участника обмена. То есть сила всей цепи равна силе самого слабого звена этой цепи, объясняет эксперт.

Второй ключевой момент — право пользователя на конфиденциальность.

Подобный обмен должен быть согласован самим клиентом. Иначе получается, что бизнес имеет полную картину того, что из себя представляет личность. Он будет знать не только ее текущие расходы, доходы и траты, но вкусы и предпочтения.

И вот в таком разрезе защищать уже надо не пользовательские данные, а самих пользователей от вмешательства в их жизнь и влияния на нее.

Третий ключевой момент, продолжает эксперт, – ответственность участников бизнес-процессов за утечку консолидированных данных.

Одно дело, если утекли паспортные данные без привязки их к доходу. И совсем другое — когда цифровой слепок информации, который достаточно четко характеризует персону, попадает в несанкционированный доступ к злоумышленникам.

Чем больше людей имеет доступ к информации, чем выше сложность системы, тем более она требовательна в обслуживании. И тем выше цена ошибки и утечки данных.

Идея open data хороша для бизнеса и дальнейшего развития нашего рынка, заключает эксперт. Но вместе с этим она требует всесторонней защиты и очень бережного обращения.

“Сейчас данные – это актив. Раз данные чего-то стоят, ими не будут делиться просто так”, — комментирует идею open data Руслан Ложкин, руководитель службы информационной безопасности Абсолют Банка.

Здесь ключевой блокер — само понятие открытых данных, которое нужно ввести законодательно, а также определить, что не может являться открытыми данными. Без этого мы сразу сталкиваемся со множеством законов: персональные данные, коммерческая тайна, авторское право, информация ограниченного доступа и так далее.

Если данные были получены из общих баз знаний или из интернета, то это еще не открытые данные, а общедоступные, объясняет эксперт.

Нужно сформулировать требования к обработке и хранению открытых данных, полагает Ложкин.

Без законодательного определения открытых данных и определения в подведомственных структурах правил к обработке таких данных, концепция open data не имеет смысла, заключает глава службы безопасности Абсолют Банка.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вышел бесплатный GPU-дешифратор для Linux-вымогателя Akira

Исследователь Йоханес Нугрохо выпустил бесплатный инструмент для расшифровки файлов, пострадавших от Linux-версии вымогателя Akira. Уникальность дешифратора заключается в использовании мощности графических процессоров (GPU) для восстановления ключей шифрования.

Изначально Нугрохо взялся за создание утилиты, чтобы помочь другу. Он предполагал, что задача займёт около недели, учитывая метод создания ключей шифрования в Akira.

Однако проект пришлось доводить до ума целых три недели, плюс он потребовал затрат на GPU-ресурсы в размере 1200 долларов США.

Особенность Akira заключается в использовании текущего времени с точностью до наносекунд в качестве сида для генерации уникальных ключей шифрования. Эти ключи дополнительно защищаются RSA-4096 и добавляются в конец каждого зашифрованного файла.

 

Поскольку вымогатель шифрует несколько файлов одновременно в многопоточном режиме, определить точную временную метку затруднительно. Изучив журналы событий и метаданные файлов, исследователь сузил диапазон поиска и применил мощные GPU-сервисы облачных платформ RunPod и Vast.ai.

Используя шестнадцать графических процессоров RTX 4090, ему удалось подобрать ключ примерно за 10 часов, хотя при большом объёме файлов процесс может занять несколько дней.

 

Дешифратор уже опубликован на GitHub с подробными инструкциями, однако автор напоминает пользователям о необходимости предварительного резервного копирования данных, поскольку неправильный ключ может привести к повреждению файлов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru