Национальный Австралийский банк пролил дополнительный свет на свой инцидент с нарушением данных в июле 2019 года, сократив число пострадавших клиентов с 13 000 до 11 500 и заявив, что “более 80 процентов пострадавших клиентов [были] связаны по различным каналам в течение двух рабочих дней” – несмотря на то, что инцидент был обнародован только в 6.30 вечера в пятницу вечером.
Подробности этого инцидента раскрываются в последнем ежегодном обзоре NAB и сопутствующем годовом отчете, опубликованном в пятницу, где осажденный банк излагает меры, принятые им для борьбы с потенциальными дальнейшими инцидентами.
Июльский инцидент произошел из-за человеческой ошибки, когда личная информация, включая такие идентификаторы, как данные водительских прав, государственные идентификационные номера, даты рождения и контактные данные, была загружена “на серверы двух компаний по обслуживанию данных”.
В то время как потенциал для неправильного использования информации невелик, даже незначителен, SNAFU юридически вызвал обязательные отчеты регуляторам, которые пристально вынюхивают безопасность данных банков и гигиену управления на фоне растущего цифрового проникновения и грабежей.
“Регуляторы были уведомлены в течение 72 часов, включая Управление Австралийского комиссара по информации (OAIC), Австралийское Управление пруденциального регулирования (APRA), Австралийскую Комиссию по ценным бумагам и инвестициям (ASIC) и сотрудника Британского комиссара по информации (UK ICO)”, — говорится в сообщении NAB.
Этот инцидент также спровоцировал проверку нового “Плана действий по нарушению данных” NAB с последующим пересмотром инцидента, приведшим к “усилению контроля над нашими возможностями предотвращения и обнаружения утечек данных” и “обязательному обучению сотрудников NAB по всему миру”.
“Нарушение усилило необходимость быстрых, прозрачных действий и доказало, насколько жизненно важно управлять рисками и быстро привлекать и компенсировать клиентам, когда что-то идет не так”, — говорится в обзоре, хотя суммы в долларах для компенсации, выплаченной клиентам за этот инцидент или другие подобные сбои, не указаны в документе обзора.
В 2018 году NAB выплатила 7,4 миллиона долларов в качестве компенсационных выплат клиентам, которые понесли финансовые потери в результате отключения своих банковских платежных систем, в результате чего тысячи предприятий не смогли торговать без наличных денег в мае того же года.
Критические инциденты значительно снизились в этом году: “число критических и высоких инцидентов сократилось на 42 процента по сравнению с прошлым годом.”
Один крупный инцидент произошел в Новой Зеландии в сентябре, когда “аппаратный сбой вызвал проблему с базой данных, которая привела к отключению, в результате чего клиенты не могли получить доступ к нашим каналам онлайн-банкинга в Новой Зеландии в течение двух часов.”
“В то время как BNZ быстро определила проблему, отключение вызвало прерывистое воздействие на видимость наших [клиентов] их индивидуальной истории транзакций, и решение заняло несколько дней.
“Дальнейшее отключение 5 сентября 2019 года привело к дальнейшим сбоям, вызвавшим увеличение числа звонков в наши контактные центры и негативное освещение в средствах массовой информации. На протяжении всего этого периода банкоматы и операции по картам оставались незатронутыми.”
В докладе также подробно описываются некоторые коммерческие идеи, лежащие в основе хорошо документированной мультиоблачной стратегии NAB, а именно избегание блокировки.
“Мы работаем с такими поставщиками услуг, как Amazon Web Services, Microsoft Azure и Google Cloud, чтобы воспользоваться уникальными предложениями каждого поставщика и защитить себя от зависимости от какого-либо одного поставщика”, — сказал НАБ.
“Более 950 наших сотрудников прошли отраслевую сертификацию в Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform. Наш бизнес содержит больше всего сертифицированных AWS людей в любом бизнесе в Австралии и Новой Зеландии за пределами самой AWS”, — сказал НАБ.