Эксперты по кибербезопасности объяснили, когда передавать сканы безопасно, а когда — нет
Банки и финансовые сервисы всё чаще просят россиян отправить фото сразу нескольких страниц паспорта — с ФИО, пропиской и даже сведениями о ранее выданных документах. Эксперты по кибербезопасности объяснили ИА PrimaMedia, почему такие запросы стали новой нормой, насколько это законно и как безопасно передавать личные данные.
Передача паспортных данных в банк сама по себе считается стандартной процедурой, рассказал основатель Expice Security Антон Паламарчук. По его словам, финансовые организации работают в строгом правовом поле и обязаны соблюдать требования законодательства о персональных данных, а также предписания Центробанка.
"Уровень защиты инфраструктуры банка принципиально выше, чем у других сервисов, — от этого зависит наличие лицензии на ведение банковской деятельности", — отметил эксперт.
Главный риск связан не столько с самой передачей информации, сколько с тем, как именно данные будут храниться после отправки и кто получит к ним доступ, — обратил внимание Антон Паламарчук.
"Утечки баз с паспортными данными в России происходят регулярно, и часто именно через третьих лиц", — предупредил он.
Передавать документы эксперт рекомендует только через официальные каналы — мобильное приложение банка, личный кабинет на сайте или непосредственно в офисе. Для дополнительной защиты Паламарчук советует наносить на фото водяные знаки с указанием даты и цели передачи документа.
Запрос паспорта напрямую связан с требованиями 115-ФЗ о противодействии отмыванию доходов, разъяснил эксперт Security Vision Степан Клепиков. Банки обязаны идентифицировать клиента перед проведением операций.
"Без подтверждения личности банк не только не сможет, но и не будет иметь право проводить какие-либо операции", — объяснил эксперт.
При потере доверия к онлайн-каналам клиент всегда может лично посетить офис банка и передать документы сотруднику под подтверждение о приёме.
Наиболее рискованным способом передачи данных Степан Клепиков называет мессенджеры и личные переписки. Кроме того, пользователям советуют внимательно проверять адрес сайта перед загрузкой документов.
"Замочек должен быть на месте, а в адресе не должно быть подмен — 0 вместо О или rn вместо m", — подчеркнул он.
Вместе с тем даже банковские системы не дают абсолютной гарантии защиты данных, добавляет консультант по информационной безопасности Дмитрий Тулупов.
"Риски всё равно остаются: инсайдер (сотрудник банка), взлом базы или утечка через подрядчиков", — пояснил специалист.
По словам Дмитрия Тулупова, общее правило защиты простое: чем меньше информации на фото — тем лучше.
"Снимайте страницу, а не сканируйте — на фото можно оставить блики, частичный палец, — советует он. — Закрывайте часть цифр: последние 3–4 цифры номера паспорта или кода подразделения, если поле не критично. Для банка обычно критические данные — это серия и номер полностью, дата выдачи и орган, которые скрывать нельзя. И отправляйте всё только через личный кабинет организации, не по email и не в мессенджерах", — посоветовал эксперт.