Случилась первая в истории утечка данных Центробанка России — сразу на 120 тыс. клиентов

Безопасность Стратегия безопасности ИТ в банках ИТ в госсекторе
мобильная версия
, Текст: Валерия Шмырова

В интернете появилась база данных о 120 тыс. клиентов из «черного списка» Центробанка, которым финансовые организации отказали в обслуживании из-за отмывания денег и финансирования терроризма. Эксперты считают, это первый случай, когда данные Центробанка утекли в открытый доступ.


«Черный список» в открытом доступе

В интернет выложили базу данных, в которой содержится информация о 120 тыс. клиентов из «черного списка» Центробанка, с которыми банки отказались работать по закону о противодействии отмыванию денег в финансированию терроризма. В списке присутствуют как физлица и индивидуальные предприниматели, так и компании, но последних меньшинство, пишет «Коммерсант».

В базе представлены такие данные, как ФИО, дата рождения, серия и номер паспорта физлиц, ФИО и ИНН индивидуальных предпринимателей, а также наименование, ИНН и ОГРН компаний. Раскрытие информации о присутствии лица в «черном списке» Центробанка может повлечь за собой неприятности для этого лица — например, при устройстве на работу или заключении договоров. С другой стороны, попасть в такой список можно и случайно — в результате халатности или технической ошибки.

Эксперты считают, что это первый случай, когда данные Центробанка утекли в открытый доступ. База попала в интернет несколько месяцев назад, но Центробанк и Росфинмониторинг узнали об этом только сейчас.

Как могли утечь данные

В июне 2017 г. Центробанк начал обмениваться данными о клиентах из «черного списка» с Росфинмониторингом и другими банками. Банки стали присылать в Центробанк данные о клиентах, которым они отказали в обслуживании по подозрению в отмывании денег и финансировании терроризма. Центробанк отправлял эти данные на обработку в Росфинмониторинг, а потом получал обратно и в агрегированном виде снова рассылал банкам. В итоге у всех банков был в наличии актуальный «черный список» клиентов.

День, когда была внедрена практика обмена данными — 26 июня — совпадает с датировкой первых записей в утекшей базе. Последние записи датируются 6 декабря 2017 г. Росфинмониторинг утверждает, что с его стороны утечки быть не могло. Центробанк заявил, что передает данные другим банкам в зашифрованном виде, используя защищенные каналы и сертифицированные средства криптографии. В Центробанке подчеркнули, что ответственность за дальнейшую безопасность данных лежит на банках-получателях.

Произошла первая в истории утечка данных Центробанка

Опрошенные «Коммерсантом» эксперты по информационной безопасности полагают, что утечка могла произойти откуда угодно — из Центробанка, Росфинмониторинга или любого банка. По мнению некоторых из них, обмен данными следовало организовать иным образом — чтобы база была только у Центробанка, а банки направляли ему запросы в ходе проверки своих клиентов. В таком случае можно было бы понять, откуда утекли данные, сейчас же это невозможно.

Возможное наказание

Лицо, ответственное за утечку, нарушает одновременно законодательство о неприкосновенности частной жизни и о незаконном получении и разглашении сведений, составляющих банковскую тайну, считают юристы. В первом случае данное лицо может получить до пяти лет лишения свободы, если данные распространялись через интернет и с использованием служебного положения. Во втором случае — также до пяти лет лишения свободы, но в случае тяжких последствий — до семи.

Действия виновника утечки также могут быть квалифицированы как неправомерный доступ к компьютерной информации, за что ему грозит лишение свободы до семи лет.

Другие утечки

В октябре 2018 г. CNews писал, что в Сбербанке произошла масштабная утечка информации. На форум Phreaker.Pro была выложена база данных, содержащая подлинную информацию 421 тыс. сотрудников банка. Phreaker.Pro специализируется на взломе сайтов, парсинге баз данных, обходе систем безопасности и видеонаблюдения зданий, обходе безопасности автомобилей и т. п.

В слитой базе были данные о фамилиях и именах персонала, подразделениях, в которых они работают, адресах электронной почты, а также логинах для доступа к рабочим компьютерам. База представляла собой простой текстовый файл объемом около 47 МБ. Под удар попали сотрудники не только самого Сбербанка, но и его дочерних организаций, в том числе и зарубежных. В базе были адреса электронной почты Германа Грефа, главы Сбербанка.

Пресс-служба Сбербанка сообщила, что источником утекшей информации мог стать один из нынешних или бывших сотрудников банка в результате его злонамеренных действий. База была актуальна на 1 августа 2018 г. Иными словами, на момент утечки содержащаяся в ней информация еще не успела устареть.