Open data: Сбербанк предлагает делиться данными клиентов

Open data: Сбербанк предлагает делиться данными клиентов

Open data: Сбербанк предлагает делиться данными клиентов

Сбербанк предложил бизнесу обмениваться клиентской информацией. Открыть друг другу данные смогут банки, маркетплейсы и телеком. Эксперты предупреждают в таких сценариях о рисках утечек и нарушении права на конфиденциальность.

На тему возможного обмена данными говорили на конференции “Финтех”, организованной “Ведомостями”. Сбербанк выступает за внедрение открытых интерфейсов (open API) в виде модели открытых данных.

“Open banking, о котором мы сейчас говорим, – это хорошая тема, но она уже уходящая, следующая тема – это open data”, — заявил первый зампред правления Александр Ведяхин.

Если поднимать вопрос об обмене данными, то нужно сразу делать его возможным всем со всеми, считает топ-менеджер.

У телекомов и маркетплейсов огромное количество клиентской информации, которая может быть полезна банкам и страховщикам. То же самое относится и к данным, собираемым финансовыми институтами. По мнению Сбербанка, open data позволят людям быстро и просто применять любые платежные инструменты на маркетплейсах.

Anti-Malware.ru попросил экспертов по информационной безопасности прокомментировать эту новость.

С коммерческой стороны это начинание имеет множество положительных моментов как для клиентов, так и для представителей бизнеса, говорит главный специалист отдела комплексных систем защиты информации компании “Газинформсервис” Дмитрий Овчинников.

Но с точки зрения информационной безопасности подобный обмен данными несет в себе определенные риски, продолжает эксперт.

Любые каналы обмена информации — это увеличение “поверхности” атаки и возможности утечки данных. Чем больше участников в подобном обмене, тем выше вероятность, что данные “утекут” за пределы организаций.

Но даже если добиться полностью защищенного обмена, все упирается в надежность хранения данных у конкретных участников бизнес-процесса.

И вот в таком случае, уровень максимальной защиты этих данных будет равен силе защиты самого слабого участника обмена. То есть сила всей цепи равна силе самого слабого звена этой цепи, объясняет эксперт.

Второй ключевой момент — право пользователя на конфиденциальность.

Подобный обмен должен быть согласован самим клиентом. Иначе получается, что бизнес имеет полную картину того, что из себя представляет личность. Он будет знать не только ее текущие расходы, доходы и траты, но вкусы и предпочтения.

И вот в таком разрезе защищать уже надо не пользовательские данные, а самих пользователей от вмешательства в их жизнь и влияния на нее.

Третий ключевой момент, продолжает эксперт, – ответственность участников бизнес-процессов за утечку консолидированных данных.

Одно дело, если утекли паспортные данные без привязки их к доходу. И совсем другое — когда цифровой слепок информации, который достаточно четко характеризует персону, попадает в несанкционированный доступ к злоумышленникам.

Чем больше людей имеет доступ к информации, чем выше сложность системы, тем более она требовательна в обслуживании. И тем выше цена ошибки и утечки данных.

Идея open data хороша для бизнеса и дальнейшего развития нашего рынка, заключает эксперт. Но вместе с этим она требует всесторонней защиты и очень бережного обращения.

“Сейчас данные – это актив. Раз данные чего-то стоят, ими не будут делиться просто так”, — комментирует идею open data Руслан Ложкин, руководитель службы информационной безопасности Абсолют Банка.

Здесь ключевой блокер — само понятие открытых данных, которое нужно ввести законодательно, а также определить, что не может являться открытыми данными. Без этого мы сразу сталкиваемся со множеством законов: персональные данные, коммерческая тайна, авторское право, информация ограниченного доступа и так далее.

Если данные были получены из общих баз знаний или из интернета, то это еще не открытые данные, а общедоступные, объясняет эксперт.

Нужно сформулировать требования к обработке и хранению открытых данных, полагает Ложкин.

Без законодательного определения открытых данных и определения в подведомственных структурах правил к обработке таких данных, концепция open data не имеет смысла, заключает глава службы безопасности Абсолют Банка.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru