12 апреля 2019. Хакеры украли данные более 120 тысяч граждан и организаций из "черного списка" Центробанка и опубликовали их на специализированных сайтах. Это первый случай обнародования данных ЦБ. Сам регулятор и Росфинмониторинг настаивают на невозможности утечек, а IT-эксперты утверждают, что Банк России сам виноват в ошибках в проектировании системы безопасности передачи данных, пишет "Коммерсантъ".
"Черный список" представляет собой данные клиентов различных банков, которым было отказано в обслуживании по подозрению (порой необоснованному) в отмывании доходов, полученных преступным путем, и финансированию терроризма.
Большая часть базы — физические лица и ИП, часть — юридические лица. Про физических лиц в базе содержится информация об их ФИО, дате рождения, серии и номере паспорта, про ИП — ФИО и ИНН, про компании — наименование, ИНН и ОГРН.
Для клиентов утечка опасна не только из-за раскрытия персональных банков, но самим присутствием в базе. У многих физлиц из-за случайного попадания в "черный список" помимо проблем с банками в будущем могут возникнуть дополнительные сложности, например, при устройстве на работу, заключении договоров и иные риски.
Украденные данные относятся к периоду с 26 июня по 6 декабря 2017 года. Механизм создания базы выглядит примерно так: банки выявляют клиентов, которым они отказывают в обслуживании из-за подозрений в нарушении 115-ФЗ, направляют информацию об этих клиентах в ЦБ, а тот, в свою очередь,— Росфинмониторингу. Последний обрабатывает полученные от банков данные, передает их обратно в ЦБ, а ЦБ в агрегированном виде — банкам. Таким образом, все банки получают обновляемый список подозрительных клиентов, сформированный усилиями всего сектора.
Эксперты указывают, что утечка данных могла произойти множеством способов на любом этапе их передачи. По мнению специалистов по кибербезопасности, база должна быть только у ЦБ, а банки должны лишь направлять ему единичные запросы для проверки клиентов. Таким образом критическая ошибка было допущена еще на стадии проектирования системы.
Распространение подобных баз данных в первую очередь посягает на неприкосновенность личной жизни, считают юристы. Уголовный кодекс предусматривает за это наказание до пяти лет лишения свободы в случае использования служебного положения и распространения данных через интернет. Такие действия также могут быть квалифицированы как неправомерный доступ к компьютерной информации (лишение свободы до семи лет).
Егор Тараруев