МОСКВА, 26 ноября. /ТАСС/. Глава Сбербанка Герман Греф считает личной виной утечку данных клиентов Сбербанка. Об этом он заявил, выступая на ежегодной встрече с клиентами премиального сегмента "Сбербанк первый".
"На мой взгляд, когда такого рода вещи происходят, нужно искать вину в себе, всегда виновато первое лицо во всем. Я считаю, что это моя личная вина", - сказал он, отвечая на вопрос о произошедшей в сентябре утечке 5 тыс. учетных записей клиентов банка.
Глава Сбербанка пояснил, что использовал неправильную парадигму, полагая, что в данном вопросе важнее выстраивать надежную корпоративную культуру, чем "громоздкие системы" внутреннего контроля.
"В чем ошибочность моей парадигмы была? Считается, что защититься от внутреннего врага, от внутреннего предательства невозможно. Я исходил из этого же, говорил, нужно работать, у нас должна быть корпоративная культура таковой, что мы не должны допустить этого. Но строить громоздкие системы внутреннего контроля просто не реально. Если захотят - все равно украдут, и это произошло. Я пересмотрел полностью свою точку зрения. Я не хочу быть во власти достаточно значительной части сотрудников, которые имеют допуск к нашим внутренним системам", - пояснил он.
Греф также отметил, что сотрудник Сбербанка, виновный в утечке данных клиентов, готовил преступление в течение трех месяцев.
"По иронии судьбы предателем оказался талантливый парень, который получил образование в области кибер-защиты, и который профессионально этим занимался. Он готовил три месяца преступление. Он испробовал все варианты, нащупал один, и его использовал. После того, как это произошло, нас, конечно, потрясло все это, и я сказал: "Ребята, концепцию меняем радикально. У нас внутри должны быть такие же системы защиты по надежности, как снаружи", - рассказал глава банка.
Ранее в интервью журналу Forbes Герман Греф рассказал, что после произошедшей в сентябре утечки 5 тыс. учетных записей клиентов Сбербанка был введен особый режим контроля сотрудников, имеющих доступ к критическим системам.
Нет полностью защищенной технологии
По словам Грефа, Сбербанк пока не имеет полностью защищенной технологии, которая бы гарантировала абсолютную защиту сбережений при использовании биометрических технологий.
"Проблема в том, что мы, наверное, одни из самых старых игроков на российском рынке, которые занимаются биометрией. И даже у нас пока еще нет 100% защищенной технологии, которая бы вам гарантировала сохранение всех ваших сбережений или 100% подтверждения вашей идентификации всех ваших действий. Мы используем нейронные сети - мошенники используют нейронные сети. Мы придумываем всевозможные меры противодействия разным вещам, которые они придумывают - они придумают новые вещи", - сказал Греф.
При этом он отметил, что банки сами заинтересованы в том, чтобы использовать в удаленных каналах биометрию, так как это выгодно как кредитным организациям, так и клиентам.
"Сегодня риски за наш счет в любом случае. Все ошибки за наш счет, потому что, если мы неправильно идентифицировали человека - это происходит у нас внутри - то мы, конечно же, всегда будем нести сами убытки. Мы никогда не возложим убытки на нашего клиента", - добавил банкир.
Кроме того, по мнению Грефа, в целом биометрические технологии пока несовершенны, поэтому сейчас не стоит обязывать банки использовать единую биометрическую систему для проведения юридически значимых решений.
Внедрение биометрических технологий
Российские банки запустили услугу по сбору биометрии клиентов летом 2018 года. К 2021 году, по расчетам ЦБ, банки смогут оказывать на базе удаленной биометрической идентификации не только финансовые, но и государственные услуги.
Разработку платформы удаленной биометрической идентификации вели ЦБ и участники ассоциации "Финтех". Технологическую реализацию проекта взял на себя "Ростелеком", который должен был обеспечить ее интеграцию с Единой системой идентификации и аутентификации (ЕСИА).
ЕСИА уже содержит персональные данные большинства россиян, так или иначе пользующихся государственными услугами. Теперь доступ к ней получат и банки, однако оказывать госуслуги они пока не смогут в силу несоответствия требованиям информационной защиты ФСБ и ФСТЭК.