В скандале с утечкой данных клиентов Сбербанка появились новые детали — число пострадавших выросло. Кредитная организация выяснила, что в открытый доступ попала информация о счетах 5 тыс. человек. Хотя ранее глава банка Герман Греф заявлял, что речь идет лишь о 200 жертвах. По данным «Ведомостей», в DarkNet оказались сведения о держателях кредитных карт и их счетах. Секретных кодов или слов там нет. Чем это грозит клиентам? И почему изменилось количество пострадавших? Об этом — Глеб Силко.
Фото: Юрий Мартьянов, Коммерсантъ / купить фото
Когда глава Сбербанка Герман Греф объявил, что жертвами утечки данных стали всего 200 человек (ранее “Ъ” сообщал о данных 60 млн кредитных карт), казалось, что вопрос исчерпан. Выяснилось, что информацию о держателях кредиток продавал некий сотрудник уральского отделения, с ним уже работают правоохранительные органы. Но скандал на этом не закончился. На этот раз уже сам Сбербанк сообщил, что речь идет не о 200, а о 5 тыс. человек. Впрочем, в кредитной организации добавили: значительное количество учетных записей кредитных карт устаревшие и неактивные, вообще, их перевыпустили, угрозы для средств клиентов нет.
Правда, специалисты по информационной безопасности сомневаются: число пострадавших на самом деле может быть больше. Так или иначе, сейчас на всех, чьи данные попали в чужие руки, обрушится волна мошеннических звонков, предупреждает директор департамента информационной безопасности Национальной инжиниринговой корпорации Лука Сафонов: «Если этим людям назовут практически всю подноготную — паспортные данные клиентов, кредиты, которые они брали,— я думаю, очень многие поверят тому, что это звонок из банка, особенно если будет использована подмена номера. Как минимум эту базу можно отсортировать по уровню владения деньгами, то есть если у кого-то кредит одобрен на 300 тыс. руб., а у кого-то на 2 млн руб., то, соответственно, будут звонить второму».
Что теперь делать клиентам? Судиться со Сбербанком можно, но доказать что-либо будет сложно, говорит советник практики информационных технологий юридической компании «Томашевская и партнеры» Роман Янковский. А за допущенную утечку кредитной организации грозит штраф максимум в 50 тыс. руб., поскольку виноват в произошедшем хакер или недобросовестный сотрудник. «Те, чьи данные были разглашены таким образом, могут подавать иск о компенсации морального вреда, возмещении убытков.
Но проблема в том, что потери в российском праве нужно доказывать.
Какие доводы относительного того, что ты пострадал, и данные твоей кредитной карты ушли в интернет, можно привести, если ты ее сразу заблокировал? С точки зрения нашего суда, это не считается каким-то моральным ущербом. Тем более сложно говорить здесь о каком-то экономическом вреде»,— полагает Янковский.
Сообщения о крупных утечках данных клиентов больших компаний — не редкость в последнее время. Например, на прошлой неделе практически одновременно со скандалом со Сбербанком выяснилось, что в DarkNet также появилась база данных 8 млн клиентов «Билайна». Неужели хакеры стали активнее и научились обходить киберзащиту серьезных компаний? Едва ли дело в этом, убежден бизнес-консультант по безопасности Cisco Алексей Лукацкий. Возможно, теперь организациям нужно пересмотреть свои методы борьбы с уже не внешним, а внутренним врагом. «В условиях достаточно непростой экономической ситуации всегда внутри компании находятся люди, и в перспективе их число будет больше, которые захотят продать те данные, к которым они имеют вполне легальный доступ. И учитывая, что эта информация является достаточно ценной для злоумышленников, всегда найдутся те, кто захочет ее купить. Здесь скорее дело не в том, что компании не умеют выстраивать системы защиты от хакеров, а в том, что немного меняется сама парадигма: защищаться уже надо не только и не столько от хакеров, сколько от людей, которые имеют доступ к данным»,— заявил Лукацкий.
Если борьба с собственными нечестными сотрудниками — дело самих компаний, то настоящими хакерами и интернет-мошенниками должна заниматься реальная полиция. Предложения создать в органах МВД узкоспециализированные киберотделы звучат в России не первый год, но поддержки в органах власти они не нашли. В последний раз в сентябре речь шла о создании киберполиции для борьбы с распространением наркотиков через интернет. Но эту идею не одобрили на самом высшем уровне — в необходимости такого рода силовиков усомнился президент Владимир Путин.
В самом Сбербанке “Ъ FM” отказались дополнительно комментировать ситуацию. Ранее информацию “Ъ” об утечке данных 60 млн кредитных карт там назвали некорректной.
Стража со взломом
Почему мощная защита банковского сектора от хакерских атак мало помогает гражданам