Судебными исками может обернуться для Росевробанка и его подрядчика забота о кибербезопасности. Банк разослал по своим клиентам-юрлицам сообщение со списком сайтов, от посещения которых рекомендовал воздержаться в связи с рисками хищений. В Росевробанке ссылаются на то, что получили соответствующую информацию от Group-IB и поделились ею с небольшим числом своих клиентов. Компании, тестирующие информационные системы банков, часто высылают им списки потенциально небезопасных сайтов, однако эта информация дальше банка уходить в принципе не должна, отмечают эксперты.
Как стало известно “Ъ”, Росевробанк (43-е место по активам) разослал корпоративным клиентам сообщение о 17 популярных сайтах, «при посещении которых происходила эксплуатация уязвимости браузера и загружалась вредоносная программа, целью которой является хищение денежных средств у юридических лиц, работающих с ДБО (дистанционное банковское обслуживание.— “Ъ”)». Среди названных в сообщении банка сайтов оказались интернет-ресурсы СМИ, а также сайты по поиску работы и медицине. В рассылке банк не уточнял, какие именно вредоносные программы были выявлены на том или ином сайте, однако просил в ближайшее время их не посещать.
Как сообщил “Ъ” Алексей Грудинин, руководитель интернет-проектов группы «Главбух» (оказался в числе названных в письме Росевробанка сайтов), о рассылке тут узнали от подписчицы журнала «Главбух», которая и «получила рассылку банка с очень странной информацией». Тем же путем о своем попадании в черный список узнали в klerk.ru.
Компании, тестирующие уязвимость банковских информационных систем и каналов дистанционного обслуживания, регулярно рассылают банкам-заказчикам списки потенциально небезопасных сайтов, но делают это на условиях строгой конфиденциальности, указывают эксперты. По словам замруководителя Zecurion Александра Ковалева, подобная информация не подлежит разглашению, кроме того, о выявленных уязвимостях обычно ставятся в известность владельцы сайтов.
Артем Сычев, замначальника главного управления безопасности и защиты информации ЦБ в интервью Reuters 25 июля 2017 года
Залог успеха в противостоянии киберкриминалу — это информационный обмен
Тестирование информбезопасности для Росевробанка выполняла компания Group-IB, от которой банк и получил список сайтов. «Опубликованная информация, которую распространил банк, не совсем соответствует действительности — в нашей рассылке не было призывов отказаться от посещения сайтов и не говорилось, что в данный конкретный момент они содержат угрозу заражения вирусом»,— отмечает гендиректор Group-IB Илья Сачков. По его словам, Group-IB лишь фиксировала взломы перечисленных сайтов. «По лицензионному соглашению с банком представленная нами информация носит конфиденциальный характер, она может быть использована для предотвращения инцидентов на условии неразглашения»,— подчеркивает господин Сачков.
Пресс-служба Росевробанка обнародовала сообщение, согласно которому сотрудник из департамента информационных рисков получил информацию у подрядчика Group-IB и «разослал по самой маленькой клиентской базе из всех имеющихся в банке». На запрос “Ъ”, сколько именно клиентов содержится в базе, по которой ушла рассылка, и насколько дословно было передано сообщение от Group-IB, в банке не ответили. В банке ссылаются на заботу об интересах своих клиентов: «Мошенники сейчас придумывают самые изощренные способы для того, чтобы добраться до клиентских средств. Одно из направлений работы по противодействию этим угрозам — информационная работа с клиентами. Наши обращения к клиентам содержат инструкцию с перечнем рекомендуемых действий для обеспечения информационной безопасности».
Однако забота Росевробанка о своих клиентах может вылиться в судебные разбирательства. По словам главного редактора «Клерка» Марины Снеговской, Group-IB не оповестил редакцию сайта о якобы найденных угрозах, в «Клерке» уверяют, что инцидентов со взломами сайта не было и нет. Отрицают наличие угроз и инцидентов и в «Главбухе». «Эта рассылка нанесла репутационный ущерб как нашему сайту, так и в целом журналу “Главбух”, поэтому мы не исключаем возможности обращения в суд»,— отметил Алексей Грудинин. По его словам, иски могут быть поданы и к Росевробанку, и к Group-IB.
«Налицо нанесения ущерба деловой репутации,— соглашается председатель коллегии адвокатов “Старинский, Корчаго и партнеры” Евгений Корчаго.— И если действительно имело место разглашение банком полученной от Group-IB конфиденциальной информации, то Group-IB, в свою очередь, при проигрыше одному из упомянутых сайтов в суде сможет взыскать компенсацию с банка». «Важно, была ли данная рассылка от информбезопасников помечена как конфиденциальная, и если нет, то вряд ли могут считаться обоснованными претензии по ее распространению»,— уточняет зампред правления банка «Ренессанс кредит» Сергей Королев.