Беспрецедентная утечка. Черный список клиентов банков попал в сеть
Лента новостей
Как пишут СМИ, его составлял ЦБ. База насчитывает 120 тысяч клиентов, которым банки отказывают в обслуживании. Ни одна из организаций пока не призналась, что допустила утечку
Обновлено в 13:35
В сеть попал черный список клиентов российских банков. База, составленная Центробанком, насчитывает 120 тысяч клиентов, которым отказывают в обслуживании кредитные организации, пишет газета «Коммерсантъ».
Попавшие в сеть записи о клиентах относятся ко второй половине 2017 года. Именно в это время Банк России впервые начал рассылать черные списки. Большую часть утекшей базы составляют физлица (указаны ФИО, дата рождения, серия и номер паспорта) и индивидуальные предприниматели (ФИО и ИНН), есть юрлица (наименование, ИНН и ОГРН).
В одном из банков изданию неофициально подтвердили, что в списке реальные клиенты-отказники. Этим клиентам финансовые организации отказали в обслуживании по закону о противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма. То есть, судя по всему, речь идет не о должниках, а о тех, кто проводил сомнительные операции.
Business FM неоднократно рассказывала о случаях блокировки счетов предпринимателей, когда банк считал их операции сомнительными. Потом бизнесменам приходилось проходить через процедуру восстановления доступа к счету. Возникает вопрос, попала ли информация о таких случаях в приведенный черный список.
Газета «Коммерсантъ» описала механизм рассылки данных из таких баз: банки выявляют клиентов, которым отказывают в обслуживании, направляют информацию об этих клиентах в ЦБ, от регулятора она поступает в Росфинмониторинг. Росфинмониторинг обрабатывает полученные данные, передает их обратно в ЦБ, а ЦБ — банкам. Так все банки получают обновляемый список подозрительных клиентов.
Где оказалась база и кто имеет к ней доступ, рассказал журналист «Коммерсанта» Виталий Солдатских:
— База данных черных клиентов распространяется на специализированных форумах, на которых происходит обмен различными базами данных, в полузакрытом виде, бесплатно. В полузакрытом виде означает, что ее могут получить наиболее активные участники обмена базами данных. Обычно это какие-то достаточно влиятельные на этом рынке люди, которые коллекционируют эти базы, продают их. Вполне может быть, что она потом окажется на «Горбушке» или еще где-то в платном доступе.
— Какие-то известные фамилии видели?
— 120 тысяч клиентов, весь список мы не изучали.
— Условно говоря, если я планирую дело с неким ИП, легко ли эту базу найти?
— Я думаю, сейчас это можно скорее назвать «для посвященных», но посвященные — это, например, служба безопасности крупных работодателей. У них часто ограниченный доступ к информации, они получают ее как раз с помощью утекших баз и изучают их внимательно. Есть какие-то другие лица, которым эта тема очень интересна.
При таком механизме утечка данных могла произойти на любом этапе, говорят эксперты. Найти виноватого будет крайне сложно. Что делать тем, кто попал в эту слитую базу, комментирует ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов:
— Если это было название компании, соответственно, менять название компании. Если счета — будут новые счета. Если говорить о том, что делать, чтобы такого больше не повторялось, тут нужно использовать механизм, который называется «портал»: когда клиент обращается за данными из базы, ему проставляются специальные метки в то, что он выгружает из этой базы, и потом, если происходит такая утечка, можно будет четко определить, откуда эта утечка произошла, и дальше принимать меры, чтобы больше у этих сотрудников, у этих агентов не было никакого доступа к этой базе.
— Организация такого портала и создание таких меток — это дорогое удовольствие?
— Есть открытые возможности, как это сделать. Можно просто на коленке сделать веб-сайт, который бы пускал по логину-паролю сотрудников к этому порталу, а дальше портал в автоматическом режиме добавлял бы специальные «канарейки» или водяные знаки в данные, которые выгружаются. До того, как подобных инцидентов не происходило, это, видимо, никому не было нужно.
Бизнесмен Алексей рассказывает, что его компания попала под банковскую блокировку через месяц после открытия счета: основной объем средств шел от одного крупного клиента.
— С учетом того, что нас занесли в черный список, мы в принципе не сможем открыть счет в другом банке. И самое простое, что мы можем сделать, это закрыть организацию и открыть заново. Насколько я понимаю, банк решил перестраховаться с учетом того, что мы действительно молодая компания, у нас довольно большие обороты сразу пошли, потому что серьезный заказчик, и в связи с этим просто прекратил с нами какое-либо общение.
— Банки в любом случае доступ к этим спискам имеют, а то, что уплыло это наружу, кто и как может использовать?
— Я предполагаю, возможно, мошенники, которые будут предлагать убрать компанию из черного списка.
— То есть, условно говоря, якобы мы вас удалим, заплатите столько-то денег?
— Предполагаю, возможно, да.
О безопасности в российских банках рассуждает гендиректор компании Zecurion Алексей Раевский.
Алексей Раевский гендиректор компании Zecurion «Для банков безопасность — это некая гиря на ноге, которую приходится тащить, которая требует на себя силы, ресурсы, замедляет развитие и так далее. Пример тому — недавняя волна банковского мошенничества, когда звонили клиентам банков, представлялись какой-то службой безопасности и у этих мошенников была на руках вся информация о жертве, то есть его паспортные данные, его несколько последних операций, сумма остатка по счету. Очевидно, эту информацию они могли получить только из самого банка. Где эта хваленая банковская безопасность? Ее просто нет. Сейчас как-то банки не оцениваются по их уровню защищенности, нет никаких рейтингов, у кого лучше защищена информация о клиентах, у кого хуже. Есть закон о персональных данных, есть закон о банковской тайне, но на практике эти законы работают очень слабо, никто особо не следит за исполнением этих законов».
В ЦБ и Росфинмониторинге настаивают, что утечки таких баз данных невозможны. Распространение такой информации подпадает под статью о разглашении банковской тайны или неправомерном доступе к компьютерной информации. Но пока Следственный комитет не отреагировал.
Рекомендуем:
Рекомендуем:
