Данные клиентов банков из черного списка ЦБ оказались в интернете
База данных отказников банков появилась в Сети на специализированных форумах. Речь идет об информации о примерно 120 тыс. клиентов (такая цифра заявлена в описании базы), которым отказали в обслуживании финансовые организации по закону о противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма (115-ФЗ), передает «Коммерсант».
В основном в списке данные физических лиц и индивидуальных предпринимателей (ИП), но есть и юридические лица.
Информация о физлицах – ФИО, дата рождения, серия и номер паспорта; данные об ИП – ФИО и ИНН, про компании – наименование, ИНН, ОГРН.
В одном из банков неофициально подтвердили, что в списке реальные клиенты-отказники.
Опрошенные эксперты в области информационной безопасности не смогли вспомнить другого случая, когда утечка данных о клиентах банков имела отношение к ЦБ.
Записи датируются периодом с 26 июня 2017 года по 6 декабря 2017 года – известно, что именно с первой даты Банк России начал рассылать черный список клиентов в соответствии с положением 550-П.
Механизм рассылки выглядит так: банки выявляют клиентов, которым они отказывают в обслуживании из-за подозрений в нарушении 115-ФЗ, направляют информацию об этих клиентах в ЦБ, а тот, в свою очередь, – Росфинмониторингу.
В последнем ведомстве обрабатываются полученные данные, а после передаются обратно в ЦБ, и тот в агрегированном виде – банкам.
Таким образом, все банки получают обновляемый список подозрительных клиентов, сформированный усилиями всего сектора.
Утекшая база начала распространяться несколько месяцев назад, однако до недавнего времени о ней не знали ни в ЦБ, ни в Росфинмониторинге.
В Росфинмониторинге заявили, что исключают возможность утечки информации от них. В пресс-службе Банка России заявили, что регулятор доводит информацию об отказниках до участников рынка в зашифрованном виде по защищенным каналам связи с использованием сертифицированных средств криптографической защиты информации.
«Ответственность за сохранность информации и непередачу ее третьим лицам несет финансовая организация, которая ее получила», – считают в ЦБ.
Эксперты указывают, что утечка могла произойти множеством способов.
«Из ЦБ, Росфинмониторинга, любого банка», – поясняет гендиректор разработчика систем защиты информации Zecurion Алексей Раевский.
По его мнению, база должна была быть только у ЦБ, а банки – направлять ему запросы для проверки клиентов, так как в этом случае «было бы проще локализовать утечку, понять, где она произошла». В данный момент это сделать уже невозможно.
Таким образом, ошибка с точки зрения информационной безопасности была допущена еще при проектировании системы.
Инцидент опасен для клиентов не только из-за рассылки данных, но и самим фактом присутствия в базе, так как попасть в черный список банков они могут случайно.
«Часто банки вносят добросовестных клиентов в черные списки по халатности или в связи с технической ошибкой», – заявила юрист FMG Group Амина Аппаева.
По ее словам, распространение данных сведений для лиц из списка помимо сложностей с банковским обслуживанием может обернуться проблемами со службами безопасности при устройстве на работу, отказами контрагентов от заключения договоров и прочими рисками.
Раевский добавил, что подобные утечки могут приводить к самым неожиданным негативным последствиям вплоть до разоблачения гостайн.
Распространение таких баз данных посягает на неприкосновенность личной жизни, указал партнер BMS Law Firm Алексей Гавришев.
По его словам, Уголовный кодекс предусматривает за это наказание до пяти лет лишения свободы в случае использования служебного положения и распространения данных через интернет. Эти действия также могут быть квалифицированы как неправомерный доступ к компьютерной информации (лишение свободы до семи лет), добавляет юрист.
Аппаева считает, что преступление также подпадает под статью о незаконном получении и разглашении сведений, составляющих банковскую тайну (до пяти лет лишения свободы, а если деяние повлечет тяжкие последствия – до семи лет).
По ее словам, оно носит публичный характер, потому правоохранительные органы должны в обязательном порядке начать проверку.
Распространение таких баз данных относится к подследственности Следственного комитета России. В центральном аппарате комитета не смогли оперативно сообщить, поступали ли к ним заявления по этому поводу, отметив, что в случае их получения будут разбираться.
Ранее в России создали систему предотвращения утечки данных с монитора.