17 октября 2019
Вероника Горячева о том, чего не хочет замечать ЦБ
Для меня неважно, как мои данные как клиента банка могут попасть в руки злоумышленников. Будет ли это утечка базы или поработает инсайдер, «пробив» информацию. В последнем случае состав сведений может быть широк — не только баланс или объем операций, но и кодовое слово и логин от мобильного банка.
Однако ЦБ предпочитает не замечать сегмент «пробива», который составляет львиную долю черного рынка данных клиентов банков. В последнем отчете ФинЦЕРТ есть статистика по утечкам баз данных (три штуки за год), но «пробив» даже не упомянут. По словам куратора этого подразделения ЦБ Артема Сычева, в Банке России в курсе продажи сведений о клиентах банках по методу «пробива». «В рамках надзорной деятельности мы закладываем вопросы, связанные с проверкой по этой информации, но это не предмет, который можно помещать в отчет»,— отметил он. При этом господин Сычев отказался пояснить, как ЦБ использует эти данные, сколько фактов было выявлено, сколько из проверенных за год 122 банков получили предписания.
Мои источники, среди участников рынка и близкие к ЦБ, оказались более разговорчивыми. Из блицопроса выяснилось, что мониторинга объявлений по «пробиву» ФинЦЕРТ сам не ведет. «Порой от участников информационного обмена поступает информация о фактах "пробива", но ее релевантность не перепроверяется»,— указывает один из собеседников. При проверках кредитных организаций ФинЦЕРТ ставит на вид, что есть предложения по «пробиву» их клиентов, предлагает разобраться и принять меры, но не более, утверждают банкиры.
При этом и участники рынка, и сторонние эксперты по информационной безопасности в один голос говорят, что выявить «пробивщиков» просто. «Делается контрольная закупка, а далее по логам (по журналу обращений к учетной записи.— “Ъ”) отслеживается тот, кто смотрел карточку клиента»,— поясняет собеседник “Ъ” в крупном банке.
Другое дело, что заинтересованных в выявлении таких инсайдеров нет. Банкам сдавать злоумышленников в полицию невыгодно, поскольку это повлечет возбуждение уголовного дела, суд, публичность, репутационные риски. «Обычно дело заканчивается просто увольнением»,— отмечает топ-менеджер крупного банка. Знакомый полицейский пожаловался, что часто банки, наоборот, чинят препятствия при расследовании подобных уголовных дел, чтоб избежать возможной огласки. Результат очевиден — рынок «пробива» процветает.
Мне кажется, если бы ФинЦЕРТ стал проводить контрольные закупки, может даже в тандеме с правоохранителями, а кредитные организации вместо предупреждений получали санкции за разглашение банковской тайны, ситуация в корне изменилась бы. Однако ЦБ предпочитает говорить, что из банков утекает малая доля персональных данных россиян, и не замечать очевидного.
Источник: Газета "Коммерсантъ"
-
26 сентября 2024Наказание за утечку данных планируют смягчить
-
07 августа 2024Обезличивание персональных данных по новому
-
15 февраля 2024Правительство намерено бороться с избыточным сбором персональных данных
-
15 января 2024Ужесточение наказания одобрено
-
05 декабря 2023Ответственность ужесточается
-
09 ноября 2023Перечень индикаторов риска обновили