Безопасность данных в коллекторских агентствах: штрафами отделаться дешевле

По данным аналитиков, в первом полугодии 2023 года количество атак на информационные системы компаний, работающих в финансовом секторе, выросло на 20% по сравнению с аналогичным периодом предыдущего года.

За 2022 год российские компании потратили на IT-безопасность 193 млрд руб. 73% этой суммы приходится на поставку средств защиты – программное обеспечение и оборудование. По мнению экспертов, коллекторский сектор остается одной из самых уязвимых отраслей по этому критерию. И в части технологической обеспеченности, и в части подготовки кадров. Всему виной – сложный, запутанный документооборот и стоимость лицензионного ПО. Подчас, агентствам дешевле отделаться штрафами, чем приводить систему в соответствие требованиям.


Коллекторские агентства в аутсайдерах

Как отметил руководитель направления киберучений компании Инфосистемы Джет
Станислав Громов в ходе своего выступления на форуме «Лидеры цифрового развития», прошедшего в Сочи в сентябре 2023 года, универсальной программы, которая бы позволила обеспечить полную защиту периметра организации, нет. В таких условиях ключевым фактором становится высокий уровень подготовки персонала. А с этим, как свидетельствуют данные статистики, у российских компаний, в частности, в коллекторском бизнесе, пока не все хорошо. «Мы в ходе своих проектов проводим в тестовом режиме атаки на IT-системы компаний. Практика показывает: рядовые сотрудники службы безопасности наших клиентов даже не знают о тех работах, которые мы проводим – в более чем 50% случаев наши атаки остаются без какого-либо внимания или сопротивления со стороны службы безопасности компании.  В год мы проводим порядка 50 таких проектов. Расследуя инциденты, мы всё чаще приходим к выводу: причиной несвоевременного реагирования на атаки становится либо отсутствие практических навыков у сотрудников, либо их низкий уровень», - констатирует Станислав Громов.

На лицензионные программы – от рубля до миллиона в месяц

Участники рынка подтверждают этот печальный факт примерами из собственной практики. «Многие представители рынка взыскания, которые обязаны вести контроль за безопасностью персональных данных, после приобретения долговых обязательств, зачастую забывают или закрывают глаза на нюансы, связанные с этим», - констатируют эксперты Ассоциации Региональных Коллекторских Агентств «АРКА». Например, закон обязывает хранить персональные данные должников три года, вместе со всей историей взаимодействия с клиентом до погашения задолженности, как итог. В этот период необходимо сохранять персональные данные не только в используемых CRM, которые при этом должны быть одобрены ФССП и быть лицензированным программным обеспечением с подтверждающими на то документами, но и обеспечивать защиту архивов (документы на бумажных носителях, кредитные договора и так далее) на определенном уровне. «Агентства, находящиеся в «свободном плавании», зачастую закрывают на это глаза или просто не знают», - отмечает основатель Ассоциации Региональных Коллекторских Агентств «АРКА» Максим Герасименко. Отвечая на вопрос о том, какой объем средств участники рынка взыскания тратят на IT-безопасность и сохранность данных, Максим Герасименко отмечает: «Экономические модели коллекторских агентств очень разные. Объем инвестиций в IT-инфраструктуру зависит от масштаба компании и объемов долговых обязательств, с которыми она работает. Вилка: от одного рубля до миллиона и выше в месяц. И это не шутка, это реальные цифры». Самым затратным сегментом в этой части эксперт называет приобретение лицензионного программного обеспечения.

Коллекторские агентства и сложность документооборота​

Основатель платформы КРЕДЧЕК.РФ Константин Кудрявцев отмечает: перечень документов, который должен быть у компаний по защите персональных данных, реально огромный и сложный для понимания простого специалиста. Поэтому многие, кто даже бы хотел привести все в соответствие, начиная приводить бумаги в порядок, сдается на полпути. Нанимать профильных специалистов довольно накладно: стоимость данных услуг начинается от 1,5 млн рублей. «При том, что во многих компаниях установлена базовая защита от внешних атак, сильно страдает защита от внутренних», - подчеркивает Константин Кудрявцев.

Большое значение в данном вопросе, по мнению г-на Кудрявцева, имеют реальные шаги в организации бизнес-процессов, такие как ограничение перечня данных, которые доступны сотрудникам. К примеру, аналитикам, как правило, они вообще не нужны, так как аналитический отдел компании работает с триггерами, а у многих отчеты выгружаются с полными данными. Кроме того, по словам эксперта, важную роль могут сыграть простые и доступные инструменты. Например, можно внедрить базовую политику по смене пароля от ПК каждые 30 дней и ограничить доступ к ресурсам, где могут храниться сканы документов и т.д.

Будущее коллекторских агентств: замечания Центрального Банка РФ

Свою обеспокоенность уровнем IT-безопасности в финансовом секторе выразил и Центральный Банк РФ, сообщают «Ведомости». По мнению регулятора, в сложившейся ситуации, серьезные риски есть не только для сохранности данных, но и для сохранения конкуренции. В частности, речь идет о предсказуемости алгоритмов и возможности просчитать основные факторы, которые лежат в основе выдаваемых искусственным интеллектом рекомендаций. Для того, чтобы держать ситуацию под контролем, ЦБ РФ планирует выпустить консультативный доклад по искусственному интеллекту, в котором затронет вопросы применения и регулирования ИИ в сфере финансов. Предполагается, что документ будет опубликован до конца 2023 года.

***

Сложная структура документооборота, высокие затраты на профессиональные услуги и не всегда очевидные риски внутренних угроз делают обеспечение безопасности данных в коллекторских агентствах настоящим вызовом. Однако, игнорирование этого аспекта может привести к серьезным последствиям, вплоть до потери репутации и финансовых санкций. В то время как многие инструменты и решения доступны, ключевой вопрос заключается в готовности компаний воспринимать защиту данных как приоритет. Только время покажет, примут ли участники рынка необходимые меры для усиления своих систем безопасности.