Спецпроекты

Из банков "утекла" БД российских заемщиков?

Безопасность
В интернете появились предложения купить базу данных российских пользователей потребительских кредитов. По мнению экспертов, это либо беспрецедентная утечка конфиденциальной информации, либо фальшивка, дискредитирующая банки. Предложения о покупке БД заемщиков поступили по электронной почте нескольким бюро кредитных историй и банкам, сообщает "Коммерсант". В предлагаемых для ознакомления образцах содержатся данные лиц, бравших кредиты на приобретение товаров в торговых сетях. Размер базы огромен для этого сектора банковских услуг – более 700 тыс. записей. Каждая запись включает ФИО заемщика, его адрес, название торговой сети, где была совершена покупка в кредит, сумма покупки, размер первоначального взноса, размер кредита, срок кредита, размер ежемесячного платежа, объем просрочки и сумма санкций.

Телефон для связи принадлежит анонимной компании, продающей на черном рынке налоговые, таможенные и прочие базы. За всю базу продавцы просят 90 тыс. руб., что гораздо меньше рыночной стоимости кредитных историй – одна такая история в кредитном бюро стоит около $0,4.

"Теоретически утечка могла произойти откуда угодно: из банков, бюро кредитных историй, торговых сетей, коллекторских агентств",– говорит зампред правления Инвестсбербанка Максим Чернущенко. Однако коллекторские агентства не располагают подобными объемами информации о заемщиках. К тому же, говорит г-н Чернущенко, в них аккумулируются черные списки заемщиков, в то время как база содержит информацию и о добросовестных клиентах банков. Собрать информацию минимум по десятку крупных торговых сетей, которые могут обладать подобной информацией, по мнению экспертов, тоже крайне проблематично.

Высокопоставленный источник в Банке России не допускает утечки информации из Центрального каталога кредитных историй (ЦККИ): "Во-первых, к нам поступает не вся информация, в частности, там нет имен заемщиков. Кроме того, она кодируется, и в случае кражи воспользоваться ею нельзя". Тем не менее, по его словам, сам факт того, что информация о заемщиках стала предлагаться к продаже, крайне встревожила Банк России.

Как считает гендиректор бюро кредитных историй "Глобал Пэйментс Кредит Сервисиз" Олег Лагуткин, технологический уровень работы ведущих кредитных бюро слишком высок, чтобы допустить подобную утечку. А по словам гендиректора кредитного бюро "Экспириан-Интерфакс" Николая Димченко, рядовые сотрудники его бюро видят информацию в зашифрованном виде, и доступ к базе уполномоченных лиц возможен только в условиях жесткого контроля. Правда, ряд экспертов указывают на случаи, когда база данных хранится не на собственном сервере БКИ, а отдается на аутсорсинг.

"То, что источником утечки информации не могли стать БКИ, очевидно по трем причинам,– говорит замначальника управления регулирования деятельности участников финансового рынка ФСФР Алексей Волков. – Формат кредитной истории жестко закреплен законодательно и не предусматривает включения в нее информации о торговой сети". Второй довод в пользу невиновности БКИ, по мнению г-на Волкова, – на 7 апреля 2006 г. даже общая база по заемщикам, накопленная всеми БКИ, не могла составлять более 700 тыс. записей, поскольку к этому моменту бюро успели проработать лишь месяц. Правда, участники рынка отмечают, что некоторые БКИ начали сотрудничать с банками еще до внесения бюро в госреестр БКИ в марте этого года, и наиболее расторопные могли успеть накопить базу такого объема. Однако Алексей Волков отмечает, что "базы БКИ подлежат обязательной сертификации и переводятся на русский язык", а поля выставленной на продажу базы обозначены англоязычными наименованиями.

По мнению участников рынка, предлагаемая база скорее напоминает базу данных ритейловых бэк-офисных банковских программ. Таким образом, главное подозрение в разглашении конфиденциальной информации падает на банки, работающие в торговых розничных сетях.

Специалисты в сфере информационной безопасности сходятся во мнении, что утечка базы была бы невозможна без помощи служб ИТ-поддержки банков. Также происшедшее, по их мнению, можно объяснить халатностью топ-менеджмента банковских структур, имеющих доступ к конфиденциальной информации. "Обычно ни системные администраторы, ни даже служба безопасности – никто, кроме топ-менеджмента, не имеет полного доступа к подобной информации. Но, допустим, ломается у топ-менеджера ноутбук, ИТ-подразделение чинит его и параллельно устанавливает шпионский софт",– говорит Александр Чачава, президент компании Leta. По его мнению, бюджет такого хищения мог составлять около $100 тыс.

В МВД не исключают версию и о поддельной базе. Купить эту БД полностью оперативникам пока не удалось, хотя они пытались сделать это неоднократно. В таком случае предложения в интернете можно расценивать как попытку дискредитировать сферу банковского потребительского кредитования в России.

"События последних лет, когда достоянием гласности стали конфиденциальные данные большинства правительственных структур, в том числе Налоговой службы, ЦБ, Таможенной службы, и коммерческих организаций (операторы мобильной связи, регистраторы) наводят на мысль, что этим бизнесом занимаются не любители-одиночки, а профессиональные преступные группировки, поставившие дело на широкую ногу - от закупки сведений и их обработки до сети распространителей", - говорит Денис Зенкин, директор по маркетингу компании InfoWatch.

"На мой взгляд, разобраться и найти источник утечки в сложившихся условиях будет очень трудно, если вообще возможно. Система аккумулирования и обмена подобными сведениями имеет существенные архитектурные недостатки, связанные с большим количеством организаций, имеющих доступ и отсутствием единого подхода к защите данных, - добавляет г-н Зенкин. - Это подтверждает и то, что специалисты не могут понять кому принадлежали похищенные данные, хотя даже такой простой метод, как специальные метки, свойственные каждому источнику их хранения и обработки могли бы решить проблему.

Не исключено, что база данных действительно является подделкой. В феврале этого года мы уже наблюдали такой прецедент, когда мошенники предлагали куклу вместо проводок ЦБ. Однако, вне зависимости от того, окажется база данных фальшивкой или нет ясно одно - в глазах потребителей доверию банковской системе нанесен значительный ущерб. Это еще раз подтверждает, что банкам давно пора внедрить действительно эффективную систему защиты, чтобы в подобных случаях незамедлительно локализовать канал утечки, выявить и наказать виновных или же диагностировать "куклу"".

"Такая утечка вполне могла произойти, поскольку, по нашим наблюдениям, банки и вообще финансовые структуры довольно "близоруки" в вопросах защиты информации, - считает Алексей Раевский, генеральный директор компании SecurIT. - Они часто забывают, что в их задачу входит не только сохранение денег своих клиентов, но и обеспечение конфиденциальности информации о том, как эти клиенты своими средствами распоряжаются. Некоторые эксперты говорили о том, что ничего не помешает появлению на черном рынке баз данных кредитных бюро еще два года назад – когда закон о кредитных историях только был принят. Так и произошло. Получается, что в службах безопасности финансовых структур относятся к проблеме защиты информации как к чему-то второстепенному, не хотят или не могут адекватно оценивать риски, связанные с информационной безопасностью, и реагируют на появление новых угроз с большим запозданием. Думаю, что если ситуация не изменится, то и в дальнейшем мы будем часто видеть такие сообщения в новостных лентах".

Тренинг по теме "Конкурентная разведка.Новые методы и приемы." С 22 по 23 августа .Летом : 50 % от стоимости !



Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»

Технология месяца

Цифровизация электросетей реализуется преимущественно на отечественных технологиях

Игорь Маковский

генеральный директор «Россети Центр»