Спецпроекты

Случилась первая в истории утечка данных Центробанка России — сразу на 120 тыс. клиентов

6834
Безопасность Стратегия безопасности ИТ в банках ИТ в госсекторе

В интернете появилась база данных о 120 тыс. клиентов из «черного списка» Центробанка, которым финансовые организации отказали в обслуживании из-за отмывания денег и финансирования терроризма. Эксперты считают, это первый случай, когда данные Центробанка утекли в открытый доступ.

«Черный список» в открытом доступе

В интернет выложили базу данных, в которой содержится информация о 120 тыс. клиентов из «черного списка» Центробанка, с которыми банки отказались работать по закону о противодействии отмыванию денег в финансированию терроризма. В списке присутствуют как физлица и индивидуальные предприниматели, так и компании, но последних меньшинство, пишет «Коммерсант».

В базе представлены такие данные, как ФИО, дата рождения, серия и номер паспорта физлиц, ФИО и ИНН индивидуальных предпринимателей, а также наименование, ИНН и ОГРН компаний. Раскрытие информации о присутствии лица в «черном списке» Центробанка может повлечь за собой неприятности для этого лица — например, при устройстве на работу или заключении договоров. С другой стороны, попасть в такой список можно и случайно — в результате халатности или технической ошибки.

Эксперты считают, что это первый случай, когда данные Центробанка утекли в открытый доступ. База попала в интернет несколько месяцев назад, но Центробанк и Росфинмониторинг узнали об этом только сейчас.

Как могли утечь данные

В июне 2017 г. Центробанк начал обмениваться данными о клиентах из «черного списка» с Росфинмониторингом и другими банками. Банки стали присылать в Центробанк данные о клиентах, которым они отказали в обслуживании по подозрению в отмывании денег и финансировании терроризма. Центробанк отправлял эти данные на обработку в Росфинмониторинг, а потом получал обратно и в агрегированном виде снова рассылал банкам. В итоге у всех банков был в наличии актуальный «черный список» клиентов.

День, когда была внедрена практика обмена данными — 26 июня — совпадает с датировкой первых записей в утекшей базе. Последние записи датируются 6 декабря 2017 г. Росфинмониторинг утверждает, что с его стороны утечки быть не могло. Центробанк заявил, что передает данные другим банкам в зашифрованном виде, используя защищенные каналы и сертифицированные средства криптографии. В Центробанке подчеркнули, что ответственность за дальнейшую безопасность данных лежит на банках-получателях.

Произошла первая в истории утечка данных Центробанка

Опрошенные «Коммерсантом» эксперты по информационной безопасности полагают, что утечка могла произойти откуда угодно — из Центробанка, Росфинмониторинга или любого банка. По мнению некоторых из них, обмен данными следовало организовать иным образом — чтобы база была только у Центробанка, а банки направляли ему запросы в ходе проверки своих клиентов. В таком случае можно было бы понять, откуда утекли данные, сейчас же это невозможно.

Возможное наказание

Лицо, ответственное за утечку, нарушает одновременно законодательство о неприкосновенности частной жизни и о незаконном получении и разглашении сведений, составляющих банковскую тайну, считают юристы. В первом случае данное лицо может получить до пяти лет лишения свободы, если данные распространялись через интернет и с использованием служебного положения. Во втором случае — также до пяти лет лишения свободы, но в случае тяжких последствий — до семи.

Действия виновника утечки также могут быть квалифицированы как неправомерный доступ к компьютерной информации, за что ему грозит лишение свободы до семи лет.

Другие утечки

В октябре 2018 г. CNews писал, что в Сбербанке произошла масштабная утечка информации. На форум Phreaker.Pro была выложена база данных, содержащая подлинную информацию 421 тыс. сотрудников банка. Phreaker.Pro специализируется на взломе сайтов, парсинге баз данных, обходе систем безопасности и видеонаблюдения зданий, обходе безопасности автомобилей и т. п.

В слитой базе были данные о фамилиях и именах персонала, подразделениях, в которых они работают, адресах электронной почты, а также логинах для доступа к рабочим компьютерам. База представляла собой простой текстовый файл объемом около 47 МБ. Под удар попали сотрудники не только самого Сбербанка, но и его дочерних организаций, в том числе и зарубежных. В базе были адреса электронной почты Германа Грефа, главы Сбербанка.

Пресс-служба Сбербанка сообщила, что источником утекшей информации мог стать один из нынешних или бывших сотрудников банка в результате его злонамеренных действий. База была актуальна на 1 августа 2018 г. Иными словами, на момент утечки содержащаяся в ней информация еще не успела устареть.



Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»

Технология месяца

Цифровизация электросетей реализуется преимущественно на отечественных технологиях

Игорь Маковский

генеральный директор «Россети Центр»