Comments 165
Видимо, будут сотрудникам память стирать в конце рабочего дня. А то они хоть одну букву запомнят — всё, утечка нескольких бит информации.
У них за день столько не накапливается в голове.
а CVV? Это, вообще, пушка тогда.
1)3d secure необязателен. Продавец решает, использовать ли его. Некоторые продавцы не требуют этого.
Да, тут есть некоторое доверие, плюс механизмы поиска виноватого, если доверие вдруг не оправдывается.
3) работник может запомнить всё, что нужно; полагаю, этот навык легко тренируется.
Кассир из Японии украл деньги с 1300 кредитных карт. Он просто запоминал все цифры
и дальше везде висят камеры
И в курсе становится не только сотрудник, но и оператор видеонаблюдения… И все, имеющие доступ к видеозаписям… Дырка в безопасности, это как дырка в презервативе. Может быть незаметной, но вот последствия…
Такая ситуация во _всех_ банках.
Это очень сильное утверждение, для опровержения которого достаточно привести пример. Или нужны дополнительные граничные условия. Например, может быть так делают в России — это первое граничное условие. И в период времени — второе граничное условие.
Банк которым пользуюсь я, доставляет карты в конверте курьером
Скажу в защиту: это относится только к _перевыпускаемым_ картам
Кстати, расскажите, пожалуйста. Сбер при перевыпуске выдаёт карту с тем же номером, но с другим сроком. Товарищ из РФ говорит, что такого ещё не видал. Я в Украине никогда такого не видел тоже. Это вообще как? Разве при перевыпуске не должны выдавать карту с новым номером?
У меня теперь две карты с одинаковым номером и всеми надписями кроме срока и CVV. Новая карта с пейпассом, старая без. Обе активны (по идее? Только что понял, что ещё не проверял. Надо проверить завтра).
Лично такое получал в газпромбанке лет 10 назад. Тот же номер, другой срок с cvv
Сбер: при внеплановом перевыпуске (утеря карты) номер карты тоже не меняется
Меняется.
Столкнулся с этим в июле этого года. Пришлось заказать новую карту, а старую заблокировать.
а вот и нет, не меняется ни номер карты, ни ПИН-код. только дата и cvc)))
проверено этим летом в сбере.
Внеплановый перевыпуск, если до окончания срока еще много (более скольки-то месяцев) — меняется номер и CVC, дата не меняется.
Крайне странно, если у вас не сменился номер при внеплановом.
В результате у меня на руках 3 карты с одинаковыми номерами, две из них с одинаковым именем (моим), но разным сроком действия, одна с другим именем, но со сроком действия, совпадающим с моей «перевыпущенной» картой. Все с разными CVV. Все три прекрасно работают что онлайн, что оффлайн.
Так делают многие банки даже в ЕС, даже на кредитки.
Меняется только срок действия, и, возможно, CVV.
Нет. Карты студентам новые так же выдают. Которые в совместных проектах с вузами
Номер карты, срок действия, имя, фамилия и CVV код не меняются весь срок жизни карты, а по ним можно оплатить покупки в некоторых магазинах, без второго фактора от платёжной системы.
это относится только к _перевыпускаемым_ картам, не к новым
Это не оправдывает такое безалаберное отношение к этим картам.
Второе: они не активированы
Достаточно просто сфотографировать карту с двух сторон и подождать пока её активирует владелец, чтобы делать через неё покупки в интернете.
Такая ситуация во _всех_ банках
Получал за последние пять лет карты в трёх российских банках.
Везде выдавали в запечатанном конверте.
Вы не правы. Не следует обобщать свой личный опыт на все. Неделю назад получал зарплатную карточку в сбербанке (г. Москва, самый центр): сотрудница банка вынесла ее в руках без конверта с прикрепленной скрепкой бумажкой с пин-кодом, после чего производила странные манипуляции в виде вставки ее в некий терминал для банковских карт, который стоял у нее на столе.
Номер карты, дату выпуска и CVV код она легко могла запомнить, а то и зафоткать в каком-нибудь проходе по пути. В ВТБ, к слову, было то же самое.
А вот курьер Тинькофф привез мне запечатанный конверт, попросил убедиться в целостности и дал возможность самостоятельно вскрыть.
Ну блин, конверт ещё не показатель, в него карту такие же люди кладут. Тут разница только до какого этапа банк сотрудникам доверяет.
И если в большинстве банков не пользуются конвертами для карт это значит что нет прецедентов, которые потребовали бы запечатывания карт в конверты.
а если будут прецеденты кражи с карты, то автоматом будет виноват владелец карты, потому что передал данные карты третьему лицу, а доказать что это произошло еще в банке он вряд ли как-то сможет
Это проблема глобального подхода "в краже виноват клиент".
Это если введён пин-код
Даже в вашем самом плохом сценарии, когда банк отказывается возместить потери клиента, сам факт кражи не означает что все кончено. Это означает что расследование преступления вышло за пределы юрисдикции банка и теперь им должна заниматься полиция. И в каких-то случаях это работает и деньги возвращают.
Вы уверены, что в конверт кладут такие же люди?
Я уверен, что, например, ПИН никакие люди не кладут.
Карты эмбоссируются не в отделении и другой у сотрудника точно не будет. Не понятно, чего вы этим добиться хотите.
Работник банка не обязан кому попало свои инструкции показывать. Более того, они легко ДСП могут быть.
Можно также напомнить, что все действия и разговоры в банке записываются.
Это кто вам такое сказал?
Вы дайте пруф о том, что в отделении банков пишутся все разговоры, а не левые ссылки.
По остальным вашим фантазиям комментарием не будет?
Клиентам никто ничего предоставлять не будет, естественно, тем более инструкции, которые только в электронном виде, безбумажный док оборот ведь. Видимо господин Dotarev считает, что ему все должны и обязаны и банк это вполне поощряет, кстати, но на самом деле это так.
Пиши письма и жалобы, на что вам ответят, что «нам ваше мнение очень важно».
считает, что ему все должны и обязаны
На самом деле, нет, и не думаю что я написал такое. Немного поясню свою мысль. Думаю, что нет инструкций, обязывающих оператора распаковывать конверт и производить какие-либо действия с картой. Если это так, действия сотрудницы в данном случае — это самодеятельность на местах. Напомнив о производящейся записи — Вы напомните сотруднице, что служба безопасности, в случае необходимости, может проверить производимые ей действия и разобраться в правомерности. (Вам, разумеется, никто никаких записей не предоставит, и это не имелось в виду. Зато Ваше заявление обязательно рассмотрят.) Но вот забирать распечатанную карту с открытым пин-кодом не советую. Конечно, у отделения банка нет в запасе пачки карт в Вашими данными. Так подождите перевыпуска. Или смените банк, даже зарплатная карта может быть в другом банке, надо только написать заявление в бухгалтерию своего предприятия. И кстати, если карта не именная, то в запасе вполне может быть другая.
Могу привести пример из личного опыта. Очередь человек на пятьсот на замену зарплатных карт, я примерно в средине, действие происходит на нашем предприятии. Сотрудник банка просит каждого распаковать конверт, сообщить пин-код, после чего вставляет карту в считыватель, подключенный к своему ноутбуку и производит какие-то действия. Доходит очередь до меня, диалог:
— Пожалуйста, распакуйте Вашу карту и сообщите пин-код.
— Зачем?
— Мы активируем карту.
— Действительно? И самостоятельно я не смогу это сделать?
На это возражений нет. Разумеется, с картой никаких проблем не возникло. Распаковал дома, запомнил ПИН, активировал в ближайшем банкомате. Удручает другое. Я не видел людей в очереди до себя, которые бы поступили аналогично. Все бездумно доверяют самое сокровенное — свой кошелек «чужому дяде». Поэтому и здесь смолчать не смог.
Самодеятельность на местах, очень просто объясняется — активация карт, а не только их выдача, входит в плановые показатели сотрудника. Ему надо не только выдать, но и активировать, подключить мобильный банк, личный кабинет и еще кучу всяких автоплатежей.
Поэтому, фактически сам банк заставляет сотрудников проделывать такие штуки. Для чего это сделано? Если не активировать карту, то ее можно закрыть без оплаты годового обслуживания, все просто. Конечно, если написать жалобу, то сотруднику прилетит и банк сделает удивленные глаза, но каким образом сотруднику банка выполнять свои KPI, которые сами же сверху и спустили? В скриптах сотрудник должен ТАК рассказать с горящими глазами о продуктах банка, что все сразу побегут их оформлять. Но это все только во влажных мечтах «эффективных менеджеров». Реальность — она другая.
Все планы делаются в банках на грани фола (но замечу, что среди моих коллег на то время (до грефа и первые годы, до массовых сокращений), почти все были настолько порядочными и у них мысли даже не было, запомнить, сфоткать или что то украсть), но по отзывам бывших и не очень коллег, практически везде так. Кому присесть на уши, кому заглянуть в глаза, а кому помогает расстегнутая пуговичка и немного задравшаяся юбка и чулки (да-да, была у меня такая коллега, лучшая в области между прочим по выполнению плана! мужики слюни пускали и лотереечки и кредиты брали пачками).
А вообще, пообщался тут с одним бывшим коллегой в баре (работали в разное время — он относительно недавно) вся эта суета с базами клиентов, которая была в прессе недавно, скажем так — мелочи, но как пишут в объявлениях, своя клиентская база будет преимуществом при трудоустройстве, если вы понимаете о чем я. Так, что то опять дед завелся и навыдумывал, пойду приму таблетки.
Голос и видео гарантированно пишутся в кассе и со стороны кассира и со стороны клиента (это какие-то требования ЦБ), остальное по технической возможности.
Ну и пишут обычно клиентов, а не сотрудников, более того в законодательстве РФ прямо указано что нельзя вести видеонаблюдение за конкретным сотрудником (любой организации, не только банка), максимум только общее обзорное видео кабинета если в нем сидит несколько человек.
в законодательстве РФ прямо указано что нельзя вести видеонаблюдение за конкретным сотрудником
А ссылку можно? А то google выдает противоречивые статьи.
А увольнение, судя по последней практике, можно вести легально: сотрудника уведомляют что изменяются условия труда и он должен подписать согласие на видеонаблюдение, он отказывается и после течении 2х месяцев можно на основании этого уволить.
Вообще у нас можно любого уволить, сократив его должность, различные приемы для принуждения увольнения по собственному желанию используются только для того чтобы не платить оклад за 2 месяца, положенный после сокращения.
В Альфа банке так делают, в МКБ так делают… Во многих банках так делают. Не в кучке карт у Сбербанка проблема.
Как тебе такое, Герман Греф?
Мы, в конце концов, создадим такую систему, когда невозможно будет из банка вынести ни один бит информации несанкционированно.
Предлагаю идею: за каждый вынесенный бит Сбербанк будет жертвовать 1% от прибыли в несвязанные с ним благотворительные организации. И для безопасников стимул, и людям полезно.
А если серьёзно, то мне кажется, что это выглядит как попытка заблаговременной рекламы своей абстрактной "платформы": через пару лет, возможно, Сбербанк будет ходить по разным (гос)компаниям и говорить, что они разработали надежную отечественную многоцелевую безопасную корпоративную платформу, котороя уже обслуживает Сбербанк, хотите такую же себе?
В ключе активного внедрения сберклауда — Ваши слова обретают новые оттенки
Как выносили, так и будут выносить, ни одно решение в принципе не поможет это пресечь. Не смогу вынести из Сбера — будут выносить из партнёров, кол-центра (как в этом случае), с коллекторских агентств и так далее. И хрен что Сбер с ними сделает.
из «Сбербанка» нельзя будет вынести ни один бит информации
К счастью, такого не будет. Просто повысится стоимость оказания информационных услуг населению — ведь придется держать на зарплате какого-нибудь безопасника.
1 бит, верный с вероятностью 50%, — это ровно ноль бит информации. Да, кое-кому и правда пора обратно на уроки информатики...
И какую информацию это даст?
Информация о том, что некий матч договорной и определённая сторона точно выиграет — меньше 1 бита (при некоторых реалистичных предположениях) и всего 2 бита при максимально нереаличтичных. Несмотря на то, что, как вы говорите, "можно угадать — всего два варианта", такой бит (ну или пара битов) информации дорого стоит и очень даже защищается.
несанкционированно
просто добавят к всем логам «одобряем», делов-то. а к всем утечкам — это в интересах следствия, а какого — секрет.
Стивен Хокинг считал, что ни одного бита информации нельзя извлечь из чёрной дыры. Впоследствии от признал ошибку и изменил своё мнение. Но Стивен Хокинг не знал про Сбербанк!
У меня другой случай был. Принимал экзамен в аудитории, где стояли новые парты типа «фанерка на четырех ножках». Жара, лето. В аудиторию заходит девочка микро-формата с юбкой типа «ремень, из-под которого ноги торчат». Вроде все идет по плану, и вдруг посреди экзамена у той девочки с грохотом падает «базовый» учебник по дисциплине — томик формата почти А4 на 800 страниц. Пятнадцать лет прошло, а я все думаю ту же думу: «Как???» ;-)
через офицеров же
А вынос информации распространяется на электромагнитное излучение? Идеально непрозрачные стены — это, наверно, дорого.
Или банк полностью откажется от отделений? Но тогда надо бы отказаться и от удалённого обслуживания…
Но когда заходит Солнце появляется она: повелительница всех кабинетов и владелица всех ключей от всех дверей — уборщица.
Ну ситуации могут разные быть, самые умные злоумышленники могут не воровать доступные им данные, а тащить данные у коллег (из документов оставленных на столе или из информационных систем на незаблокированном компе например). Поэтому есть политики чистого стола, которые обязывают всех прятать все под ключ перед уходом и блокировать комп. И безопасники гоняют за это.
Такие заявления вызывают лишь улыбку, а не уверенность в безопасности сбербанка.
нельзя будет вынести ни один бит информации
Эта фраза — уже бит информации. Разглашённый самим Грефом.
Если бы действительно нельзя было вынести ни один бит информации, тогда никто бы не знал, можно ли вынести хотя бы бит информации.
jobs.netflix.com/culture
We share documents internally broadly and systematically. Nearly every document is fully open for anyone to read and comment on, and everything is cross-linked. Memos on each title’s performance, on every strategy decision, on every competitor, and on every product feature test are open for all employees to read. There are some leaks, but the value of highly-informed employees is well worth it.
Приведу другой пример. У каждого человека есть теоретическая возможность наброситься и убить другого человека. Но в современном обществе никто не ходит по улице с принудительно связанными руками «как бы чего не вышло». Ограничителем выступает здравый смысл, а также УК РФ и неотвратимость наказания.
Точно так же, если работнику предлагают триллион долларов за вынос данных, которые выносить нельзя, он должен четко понимать, что будет неизбежно привлечен к ответственности согласно УК и останется у разбитого корыта без альтернатив.
Ограничителем в РФ является доступность орудий убийства, и это играет немаловажную роль.
Что не мешает довольно большому количеству убийств.
И безальтернативность тоже сомнительна.
Это иррационально. Безопасность, законность и правопорядок — это персональная ответственность граждан (соблюдать и не нарушать), с одной стороны, и многочисленных правоохранительных структур (обеспечивать и бороться с нарушителями), с другой стороны. А взять и запретить — дело нехитрое.
Нет, не знал, есть пруф?
И что, нетфликс шарит платежные или персональные данные своих клиентов между всеми сотрудниками?
Как они ещё не закрылись в таком случае?
Или таки речь идёт о внутренней документации, базах знаний и прочих чисто их собственных данных?
Не оспариваю дух цитируемого замечу:
1) Не стоит слепо верить маркетинговым заявлениям на сайте призванным заманить на работу. Реальность может сильно отличаться. Знаете, как в анекдоте "Так и вы говорите"
2) Политика по отношению к служебным данным и персональных данных (клиентов, контр-агентов и сотрудников) должны отличаться.
Греф: из «Сбербанка» нельзя будет вынести ни один бит информации#мочить_в_сортире
«Нам нужно радикальным образом пересмотреть наше отношение к киберзащите наших внутренних ресурсов»
… меры информационной безопасности ужесточились настолько, что сотрудники жалуются на «замедление рабочих процессов»
По ходу, сбербанк решил вернуться к бумажному документообороту.
Пора бы уже всем банкам понять, что невозможно технически исключить вынос данных из любого учреждения. Даже без тренировки можно каждый жрёт запоминать данные одной карты и выписывать себе дома на бумажку. Необходимо работать с прошивкой этих самых носителей, то есть людей. Могу предположить, что именно так действуют спецслужбы.
Довольно глупое высказывание. Хотя за стремление обеспечить безопасность надо похвалить.
Герману Оскаровичу можно посоветовать начать с прочтения небольшого эссе Брюса Шнайера Психология Безопасности (в двух частях. англ.).
https://www.schneier.com/essays/archives/2008/01/the_psychology_of_se.html
https://www.schneier.com/essays/archives/2008/01/the_psychology_of_se2.html
Помогает отделить важное от неважного.
P.s. задрали они, после этой «утечки» шквал звонков каждый день и не прекращается.
Пафосно. Круче черной дыры.
Тут в первую очередь косяк отдела кадров раз приняли людей на ответственные должности способных на преступления. Если сейчас начнут сильно затягивать гайки то вполне возможно что люди оттуда просто побегут, тут нужно больше заботиться о материальном стимулировании работников.
В банке нет космических зарплат (и не будет), просто оклад обычно белый и на 10% выше средней по рынку. Именно это позволяет при найме (и последующей работе) отбирать ответственных людей, которые умеют осознавать последствия своих действий (например возмещение ущерба от незаконных действий и нарушения NDA) и поэтому таких действий в 99.999% не случается.
Ну а при величине Сбера и даже того самого 0.001% хватает чтоб мы обсуждали здесь подобные темы регулярно :)
Люди побегут только если изменится оплата труда (например придется работать больше времени за те же деньги или уменьшится оклад), но это вряд ли произойдет, тк трудовой кодекс не даст перерабатывать. Скорее всего в сбере переработают какие-то процессы, да дополнительных контролеров наймут
Греф: из «Сбербанка» нельзя будет вынести ни один бит информации