Преступники пытаются найти покупателей на базу данных

Российское подразделение известной швейцарской страховой компании «Цюрих» может оказаться в центре скандала. По данным «Известий», злоумышленники похитили полные данные более чем на 1 млн ее клиентов, заключивших за последние 1,5 года договоры страхования. Источники в правоохранительных органах сообщили, что мошенники пытаются найти покупателей на эту базу и есть вероятность, что она окажется в распоряжениии нелегальных фирм, специализирующихся на торговле базами данных. Эксперты считают, что столь крупная клиентская база может быть также интересна как конкурирующим страховым компаниям, так и криминальному миру.

— В руках преступников оказалось более чем 1 млн личных дел, в которых, среди прочего, указаны полные данные, адреса, места работы и мобильные телефоны людей, которые заключили с «Цюрихом» различные договоры о страховании, — рассказал источник в правоохранительных органах.

Примечательно, что украденная база данных совсем свежая: в нее вошли клиенты, которые воспользовались услугами компании с января 2012 года по февраль 2013-го, то есть многие страховые договоры сейчас актуальны.

Точная дата утечки информации из СК «Цюрих» неизвестна. Также пока нет информации о том, кто, как и откуда скачал данные клиентов. По словам оперативников, они проводят проверку — кому сведения, украденные у страховщиков, могли быть проданы.

В российском представительстве страховой компании «Цюрих» информацию о похищении базы данных клиентов комментируют осторожно и избегают прямых ответов.

— СК «Цюрих» уделяет первостепенное внимание безопасности персональных данных наших клиентов, — заявил «Известиям» гендиректор компании Николай Клековкин. — Мы расследуем любые случаи, когда безопасность подобных данных находится под угрозой, и в случае необходимости информируем об этом правоохранительные органы.

В МВД «Известиям» сообщили, что пока не располагают данными о похищении клиентской базы «Цюриха».

В компании Натальи Касперской InfoWatch, занимающейся информационной безопасностью организаций, оценили утечку как крупную.

— Миллион клиентов — это очень приличная утечка. При правильном использовании базы можно легко за год переманить 60–70% клиентов в другую компанию, — сообщил «Известиям» исполнительный директор компании InfoWatch Всеволод Иванов. — В зависимости от портфеля потери могут исчисляться десятками и сотнями миллионов долларов.

Всеволод Иванов отметил, что страховые данные могут представлять интерес как для бизнесменов, так и для криминального мира.

— Во-первых, клиентскую базу можно перепродать конкурентам, — пояснил «Известиям» Всеволод Иванов. — Во-вторых, там есть данные об автомобилях, которые могут быть востребованы у угонщиков. В-третьих, это данные по неурегулированным убыткам и отказанным возмещениям для продажи адвокатам с целью обжалования в суде. Наконец, это информация по обязательному и добровольному медстрахованию с историями болезни для перепродажи фармкомпаниям для таргетированного маркетинга препаратов. Сейчас это очень актуальная проблема.

Примечательно, что международная компания «Цюрих» в 2008 году уже оказывалась в центре скандала. Тогда британское отделение страховой компании Zurich Insurance призналось в утечке данных более полумиллиона своих клиентов. Данные были утеряны во время транспортировки в центр хранения на территории Южной Африки. За это управление по финансовым услугам Великобритании обязало страховую компанию выплатить рекордный штраф в размере £2,3 млн.

Если данные клиентов были действительно похищены из российского филиала «Цюриха», то вряд ли это грозит страховщикам суровым наказанием. По словам специалистов InfoWatch, в России также предусмотрены штрафы, но не за сам инцидент с персональными данными, а за нарушение порядка их защиты.

— Утечки же как таковые наказания не влекут, о чем свидетельствуют компьютерные диски с персональными данными, которые в изобилии лежат на прилавках рынков, — говорят в компании.

В беседе с «Известиями» член комитета Госдумы по информационной политике, информационным технологиям и связи Роберт Шлегель отметил, что одно лишь ужесточение ответственности для компаний за утрату данных не поможет переломить ситуацию.

— Что касается штрафов, то надо понимать, что и сами потерпевшие, чьи данные были утеряны, могут подавать в суд и требовать от компании те суммы, которые считают необходимыми, — пояснил Шлегель. — Однако кроме усиления ответственности за утечки необходимо еще и усилить безопасность компаний. Например, переходить на отечественный софт и оборудование. Пока мы пользуемся западным, мы не может быть уверены, что посторонние люди не получат доступ к нашей информации.

В компании Group-IB, помогающей российским киберполицейским в борьбе с виртуальной преступностью, описали три основных сценария, по которым происходит утечка данных из компаний.

— Первый вариант — это утеря или похищение ноутбука, на котором хранились данные, — рассказал «Известиям» заместитель руководителя лаборатории компьютерной криминалистки компании Group-IB Сергей Никитин. — Однако в России в отличие от Запада не развит рынок целенаправленной охоты за информацией, поэтому подобный сценарий маловероятен. Более правдоподобен второй вариант: базу данных клиентов мог прихватить с собой уволенный сотрудник. Наконец, третий вариант — это заражение компьютеров компании вредоносными программами, вследствие чего хакеры получили доступ к базе данных, поняли, что у них в руках золотая жила, и похитили информацию.

Сергей Никитин отмечает, что для каждого из этих сценариев существует эффективный способ защитить свои данные.

— Если речь идет о краже или похищении ноутбука, то поможет шифрование данных, — рассказывает Сергей Никитин. — От недобросовестных сотрудников поможет внедрение систем защиты, которые позволяют отслеживать, куда уходит информация: кто ее копирует или пытается выгрузить из базы данных. Даже если злоумышленник всё же успеет украсть информацию, его всегда можно будет найти.

Наконец, по словам Никитина, наиболее распространенный вариант — заражение вирусами.

— В этом случае надо понимать, что многие сотрудники в рабочее время заходят на развлекательные сайты, где для заражения достаточно просто пройти по случайной ссылке, — говорит Никитин. — После этого заражается не только компьютер, но и вся сеть. Проблема в том, что в некоторых компаниях системные администраторы забывают обновлять установленный на компьютерах софт, а сами пользователи сделать этого не могут, поскольку у них нет прав администратора. Необновленное ПО делает компьютер уязвимым для вирусов.

Примечательно, что исследования экспертов InfoWatch показывают, что в 2012 году число зарегистрированных утечек конфиденциальной информации из российских компаний и госорганизаций выросло в 2012 году в пять раз — до 74 случаев. При этом, по словам экспертов, это верхушка айсберга: всего лишь 1–2% от реального числа утечек становятся известны.

Проблему усугубляет специфическое видение российскими работниками своей роли в компании.

— Оказалось, что среди опрошенных сотрудников отделов продаж и менеджеров по работе с клиентами 92% считают базу данных клиентов компании своей личной собственностью, — говорит Всеволод Иванов. — Это означает, что если такой сотрудник по какой-либо причине покинет компанию, он заберет с собой эту базу, что может нанести серьезный удар по бизнесу. Вообще же 76% опрошенных полагают, что использование чужих клиентских баз данных — это нормальный инструмент ведения бизнеса.

Симптоматично то, говорят в InfoWatch, что эта цифра практически совпадает с данными о проценте злонамеренных утечек от их общего числа в российских компаниях — 77%.

26.07.13 Известия izvestia.ru

Федеральная служба по финансовым рынкам (ФСФР) выдала предписание ООО «Росгосстрах» – крупнейшему игроку на рынке ОСАГО – за отказы продавать полисы ОСАГО клиентам без дополнительных услуг, сообщил агентству «Прайм» информированный источник в ФСФР.

В апреле расследование, проведенное агентством «Прайм» в Москве показало, что продавцы компании «Росгосстрах» отказываются продавать полис ОСАГО «без нагрузки» и не применяют скидку за безубыточность вождения.

«Предписание было выдано по жалобам граждан из различных регионов, в которых они сообщали о фактах отказов работниками «Росгосстраха» в продаже полисов ОСАГО без приобретения дополнительных услуг», — сказал собеседник агентства, отметив, что договор ОСАГО является публичным и страховщик не может отказать в его заключении.

Кроме того, по словам источника, в распоряжении ФСФР оказался приказ и.о.директора филиала «Росгосстраха» в Ростовской области от 27 февраля 2013 года, в котором фактически запрещалась продажа только полиса ОСАГО.

ЧТО ОТВЕТИЛ «РОСГОССТРАХ»

В свою очередь «Росгосстрах» в ответе на предписание сообщил, что практика совмещения продаж ОСАГО с другими продуктами широко распространена на страховом рынке, особенно с учетом сложной ситуации на рынке ОСАГО в плане убыточности. Вместе с тем, такие перекрестные продажи являются сугубо добровольным и «Росгосстрах» не принимал никаких внутренних приказов о запрете продажи ОСАГО без дополнительных услуг.

Тем не менее, «Росгосстрах» в письме признал, что в ряде регионов действительно были случаи отказов в продаже только полисов ОСАГО, но это была инициатива отдельных менеджеров компании и эти случаи были предметом разбирательства Роспотребнадзора.

«Росгосстрах» сообщил также, что и.о.директора филиала в Ростовской области превысил свои полномочия и вышеназванный приказ о перекрестных продажах был отменен новым директором 26 апреля текущего года.

«Росгосстрах» отчитался перед ФСФР, что провел 15 июля селекторное совещание с главами филиалов в ряде регионов (Москва и Московская область, Мордовия, Новосибирская область, Ростовская область, Нижегородская область) о недопустимости навязывания дополнительных услуг при продаже ОСАГО, сообщил источник агентства.

СИТУАЦИЯ С ПРОДАЖАМИ В МОСКВЕ

Обзвон московских офисов «Росгосстраха», проведенный агентством «Прайм», показал, что страховщик действительно изменил политику продаж полисов ОСАГО. Так, теперь продавцы компании уже не говорят о том, что полис ОСАГО продается в комплекте со страхованием жизни от несчастного случая и приобрести только обязательную «автогражданку» в компании невозможно. Лишь в одном из 10 офисов стоимость полиса без учета скидки за безаварийность превысила расчетную стоимость на одну тысячу рублей, по такой цене в апреле в полис ОСАГО «вшивалось» добровольное страхование от несчастного случая.

Стоит также отметить, что «Росгосстрах» перестал отказывать в предоставлении скидки за безаварийность и теперь менеджеры компании уже не утверждают, что с 2013 года всем водителям обнулили скидки в связи с запуском базы Российского союза страховщиков (РСА). В некоторых офисах корреспонденту «Прайм» сообщили, что в случае, если у него не было страховых случаев за прошедший год, то полис будет дешевле на 5%, в других – что скидка будет предоставлена непосредственно при покупке полиса ОСАГО в офисе после запроса данных в базе РСА.

ИНЦИДЕНТ ИСЧЕРПАН?..

Собеседник агентства отметил, что, скорее всего, предписание не будет снято, поскольку в службу продолжают поступать жалобы от клиентов «Росгосстраха», а это значит, что меры, принятые компанией, о которых сообщено в ответе на предписание, являются недостаточными.

По словам собеседника агентства, служба будет добиваться от «Росгосстраха» проведения внутренних проверок, а также размещения на официальном сайте компании в открытом доступе информации о публичности договора ОСАГО. Кроме того, ФСФР будет настаивать на необходимости создания в компании «специального окна жалоб» для рассмотрения случаев отказов продажи только ОСАГО.

ПОЗИЦИЯ «РОСГОССТРАХА»

В свою очередь «Росгосстрах» утверждает, что речь идет о единичном случае превышения руководством филиала ООО «Росгосстрах» в Ростовской области своих полномочий.

«Изданные и.о. директора филиала приказы были отменены новым руководством филиала, но в последующем стали предметом рассмотрения УФАС по Ростовской области в соответствии с компетенцией антимонопольных органов», — прокомментировали агентству «Прайм» в департаменте по связям с общественностью компании, отметив, что в адрес ООО «Росгосстрах» было вынесено предупреждение от 22 мая 2013 года.

«Страховщик уведомил УФАС по Ростовской области об отмене данных приказов до момента вынесения предупреждения. Эта же информация направлена и в ФСФР», — сказали в страховой компании.

25.07.13 Прайм 1prime.ru

Учитывать подобные факторы в России нецелесообразно, говорят страховщики

Автовладельцы рабочих профессий, так называемые синие воротнички, не имеющие высшего образования, платят за автомобильную страховку на 5-45% больше, чем их соседи по дороге, получившие диплом о высшем образовании и избегающие работы на заводе у станка. К таким выводам пришла американская федерация потребителей (CFA), проведя анализ полисов от 10 крупнейших автостраховщиков. Сравнение проводилось на примере незамужней женщины 30 лет с доходом в $30 000, управляющей десятилетней Honda Civic без аварий и нарушений правил в течение 10 лет (см. врез).

В CFA считают, что выявили сегрегацию по образованию у компаний Geico, Progressive, Liberty Mutual и Farmers Insurance. Так, рабочий без высшего образования в Сиэтле может купить полис от Geico за $870, а человек c высшим образованием — за $599.

Исполнительный директор CFA Стивен Бробек отмечает, что если цена за полис для рабочего превышает $2000, то страховщики либо вообще не заинтересованы в потребителях, либо им неинтересно их обслуживать. В результате 25-33% водителей с доходом менее $36 000 не имеют автостраховки. Действия страховщиков можно считать дискриминацией в зависимости от благосостояния человека, считает Дж. Роберт Хантер, директор CFA по страхованию и бывший страховой комиссар Техаса. Государству следует запретить использовать при продаже полисов демографические факторы, такие как образование и место работы, уверен он.

«В США существуют партнерские проекты между страховщиками и вузами или предприятиями, позволяющие сотрудникам заводов или студентам получать скидки на автострахование в конкретных страховых компаниях», — замечает гендиректор «Либерти страхования» Сергей Ковальчук. По его словам, в России наличие высшего образования или работа на предприятии не учитываются в тарифах автостраховок. Если говорить о влиянии данных факторов на убыточность по полисам каско, то пока прямое воздействие оценить сложно, так как нет нужной статистики, добавляет Ковальчук.

Учитывать подобные факторы в России нецелесообразно, считает заместитель гендиректора «РЕСО-гарантии» Игорь Иванов: нет ни базы статистики, ни исследований, показывающих зависимость аварийности от образования. Лишь при расчете стоимости полисов от несчастного случая учитывается место работы, добавляет он.

«Понятия справедливости и дискриминации в расчете страховых тарифов не вполне уместны», — считает заместитель гендиректора «Эксперт РА» Павел Самиев: если тариф актуарно рассчитан на основании статистики убыточности, то более высокие тарифы для какой-то группы населения — «это математика, а не попытка ущемить их права». В некоторых случаях может быть обратная дискриминация, добавляет он: когда более высокие тарифы установлены для группы населения, которая, по расчетам, должна иметь меньший тариф, но компенсирует часть расходов необеспеченным слоям.

25.07.13 Ведомости vedomosti.ru