К сожалению, случаи, когда данные о клиентах разных банков в России становятся общедоступными, не так уж и редки. Согласно исследованию группы компаний InfoWatch, только за 2020 год в России количество утечек именно в финансовом сегменте выросло на 36,5% (с 52 до 71 млн случаев).
Среди крупнейших российских банков утратой контроля за частью клиентских данных «отметились» «Альфа-банк», который подтвердил факт размещения 24 июля 2020 года в теневом секторе Интернета тестового фрагмента своей базы с 64 записями о клиентах, Россельхозбанк, чей бывший сотрудник 27 июля 2020 года был приговорён в Кемерово к исправительным работам за незаконную передачу третьим лицам данных ряда крупных корпоративных клиентов, ВТБ, данные 31 тысячи карт которого были распространены в Telegram-каналах в конце августа 2020-го, и, конечно же, Сбербанк, который отметился целым рядом дел, связанных с утечками.Но, в отличие от других банков, именно его бывший сотрудник получил реальный срок отбытия наказания — приговором Красногорского городского суда Московской области виновному назначено два года и 10 месяцев колонии-поселения.
Данные недорого
А начиналось всё вполне, казалось бы, безобидно. Начальник сектора управления прямых продаж Московского банка Сбербанка Сергей Зеленин просто зашёл со своего корпоративного компьютера во внутреннюю сеть и заархивировал данные 60 млн клиентов Сбербанка. Объём архива получился 5,7 Гб. И нельзя сказать, что сеть не была защищена. По мнению службы безопасности Сбера, отлично защищена, ведь скачать такой большой архив из системы совершенно невозможно. Ну, они так думали.
А Зеленин же разбил этот архив на 187 частей и каждую часть прикрепил к письму в стандартном офисном почтовом клиенте — Outlook. Письма не отправлял, и они автоматически сохранялись в «черновиках». Далее под своим корпоративным аккаунтом он попал в систему, уже через ноутбук, вошёл в почту и из «черновиков» скачал на свою флешку все 187 частей архива. То есть не понадобилось ни сверхумных хакеров, ни хитрых вирусов или троянов. Это мог сделать любой из тысяч сотрудников Сбербанка.
Скачанный Зелениным архив содержал записи об операциях по картам, остатках по счетам, сгруппированным по территориальным банкам, а также персональные данные: фамилию, имя, отчество клиента, его паспортные данные, дату рождения, адрес места жительства, номер мобильного телефона, полный номер кредитной карты, место работы и остаток собственных средств. Всего 60 млн записей — почти всех клиентов Сбера.
Далее он зашёл на теневую площадку HYDRA и под ником «SHERLOCK Servise: ПРОБИВ и БАЗЫ ДАННЫХ ПО РФ» предложил всем желающим купить данные по пять рублей за одного клиента. Недорого. Объявление заметили журналисты, и только благодаря этому жулика быстро нашли — он успел продать только пять тысяч строк базы за 25 тысяч рублей. После поимки первым делом он написал письмо своему бывшему работодателю — Герману Грефу.
— Понимая, что любые последующие действия принесут ещё больший ущерб, принял решение уничтожить базу данных на всех носителях, — написал он в письме. — Флеш-карту разобрал, сжёг и остатки выбросил на МКАД в районе Путилково.
Чем грозят утечки
Впрочем, возможно, это неправда, и копия этой флешки ещё аукнется многим клиентам Сбера. А Зеленин благодаря самому гуманному суду в мире отправился отбывать наказание даже не в тюрьму, а в колонию-поселение, где проведёт с учётом домашнего ареста порядка двух лет. Впрочем, и это не факт: через несколько месяцев он может подать заявление на условно-досрочное освобождение.
— Насколько мне известно, в настоящий момент приговор по делу бывшего сотрудника Сбербанка является самым строгим в России за аналогичные преступления, которые совершали работники кредитных учреждений, — отметил заведующий Западной коллегией адвокатов Москвы Александр Инютин. — В иных случаях наказания злоумышленникам назначали в виде штрафа, что, на мой взгляд, в некоторой степени создаёт угрозу развития этого сегмента преступной деятельности. Ведь, если наказание минимальное, а прибыль есть, это, очевидно, провоцирует недобросовестных сотрудников на противоправные действия.
Примечательно, что в ходе процесса над Зелениным Сбербанк заявил гражданский иск о взыскании с подсудимого в счёт возмещения вреда, причинённого деловой репутации банка, в размере 25 856 157 рублей. Но при этом о клиентах, чьи данные продавались горе-менеджером, Сбер особого беспокойства в суде не высказал. Ни перед одним клиентом, чьи деньги, возможно, и сейчас остаются под угрозой, госбанк даже не извинился. Впрочем, апелляция отклонила этот гражданский иск, так как Сбер не смог предоставить доказательства уничижения своей репутации.
— В большинстве случаев информация из «слитых» баз интересна любым компаниям, которые чем-либо торгуют, отсюда и непрекращающиеся звонки с неизвестных номеров россиянам, — констатирует член Московской областной коллегии адвокатов Богдан Леськив. — При этом в случае, если в этих данных есть информация, например, о паспортах, о банковских счетах и о суммах размещённых на них средств, то владельцы этих счетов становятся мишенью для преступников, которые промышляют мошенничеством или вымогательством.
Почему Сбер избежал наказания
Примечательным является и тот факт, что, несмотря на вступивший в силу приговор суда, которым вскрыты проблемы с защитой данных клиентов в Сбербанке, само это кредитное учреждение никакой ответственности не понесло. Например, Роскомнадзор на основании состоявшегося приговора вполне мог проявить интерес к условиям, которые способствовали произошедшим в Сбере событиям, ведь согласно п. 6 ст. 13.11 КоАП РФ нарушение оператором (Сбербанком в данном случае) требований законодательства в области обработки, хранения и предоставления персональных данных наказывается штрафом до 50 тысяч рублей. Однако этого не произошло.
Понятно, что для такого гиганта, как Сбер, сумма предполагаемого штрафа ничтожна, но сам факт реакции государства, возможно, заставил бы руководство в лице Германа Грефа не только заявлять о «недопустимости предательства» со стороны сотрудников, но и пересмотреть подходы к хранению и использованию информации о своих клиентах.
Также ничего не известно о реакции на судебный приговор по делу Зеленина со стороны Центробанка, а ведь согласно п. 18.3 ст. 4 Федерального закона «О Центральном банке Российской Федерации (Банке России)», именно ЦБ осуществляет контроль за соблюдением требований законодательства РФ о противодействии неправомерному использованию инсайдерской информации, но, скорее всего, такие «мелочи», как утечка данных клиентов из самого крупного российского банка, не очень интересуют мегарегулятор, который проявляет больший интерес к «легализации» незаконных доходов и соблюдению банками нормативов по процентным ставкам.
Греф в собственном банке хакеров не заметил