В августе банковский сектор потрясла беспрецедентная утечка информации. В продажу на черном рынке поступили сразу две базы данных заемщиков — 700 тыс. и 3 тыс. записей. Раскрытие банковской тайны поставило под удар репутацию всей отечественной банковской системы. Участники рынка опасаются, что случившееся может подорвать доверие населения к банкам. При этом банкиры не спешат страховать возможные репутационные потери. Впрочем, и страховщики не готовы брать на себя финансовые риски.
В середине августа в российских сетях электронной почты появилось сообщение с предложением купить базу данных заемщиков банков, бравших потребительские кредиты. За сведения о более чем 700 тыс. заемщиков продавцы просили 90 тыс. руб. База данных содержала фамилию, имя, отчество и адрес каждого заемщика, название торговой сети, где приобретались товары, размер и срок кредита, ежемесячный платеж, размер просрочки и сумму санкций — информацию вполне достаточную для того, чтобы на ее основании выдать кредит или отказать в выдаче.
В правоохранительных органах сначала полагали, что база поддельная. Однако обзвон упомянутых в ней людей показал, что эта версия несостоятельна: все они признали, что действительно брали кредиты на указанные суммы в названных в базе торговых точках. Причем выдавали эти кредиты разные банки, в частности, «Хоум Кредит энд Финанс Банк» (ХКФ-банк), банк «Русский стандарт» и Финансбанк. Поэтому ряд участников рынка подозревают, что информация «утекла» из банков. Наибольшие подозрения падают на ХКФ-банк, поскольку он единственный был представлен во всех указанных в базе торговых сетях, а в некоторых случаях выступал эксклюзивным кредитором.
Другие эксперты считают, что валить вину на банки преждевременно. Они обращают внимание на то, что в базе есть сведения о заемщиках нескольких банков, а совершить хищение информации сразу из нескольких банков было бы затруднительно. По мнению некоторых банкиров, утечку информации можно объяснить особенностями формата анкет, заполняемых претендентами на кредиты. Потенциальный заемщик указывает в ней информацию о ранее полученных кредитах. Так информация о заемщиках одного банка оказывается в базе другого.
Когда банки сливаются, покупаются базы
В конце августа рынок всколыхнуло новое известие о появлении базы заемщиков — правда, существенно меньшей по объему (3 тыс. записей) и гораздо более дешевой (900 руб.). В нее попали неблагонадежные заемщики банка «Первое ОВК», поглощенного в 2003 году Росбанком, получавшие кредиты в 2002-2003 годах. Записи о заемщиках в базе имели отметки службы безопасности. В Росбанке от официальных комментариев отказываются, однако неофициально источник „Ъ“ подтвердил, что во время слияния ОВК и Росбанка не все сотрудники были довольны процессом интеграции и «утечка могла послужить своеобразной местью».
Появление в продаже банковских баз данных произвело сильное впечатление как на клиентов банков, так и на банкиров. По информации, поступающей от представителей банковского сообщества, службы безопасности банков сейчас проводят беспрецедентные проверки сотрудников и IT-инфраструктуры на предмет возможных утечек информации. Впрочем, о том, что кто-то понес наказание за случившееся, пока неизвестно. Поэтому участникам рынкам остается валить вину друг на друга и выдвигать новые версии происшедшего.
По словам зампреда правления Инвест-сбербанка Максима Чернущенко, «утечка могла произойти откуда угодно — из банков, бюро кредитных историй, коллекторских агентств, розничных торговых сетей». Правда, коллекторские агентства располагают информацией только о «плохих» заемщиках, в то время как в украденной базе были данные о людях, своевременно погашающих задолженность. А розничных торговых сетей слишком много, и договориться со всеми о «сливе» информации было бы крайне сложно.
В случае с продажей первой базы под подозрением оказался даже Банк России, в ведении которого находится Центральный каталог кредитных историй (ЦККИ). Но у регулятора есть алиби. По словам высокопоставленного источника „Ъ“ в Центробанке, ЦККИ не располагает информацией в том объеме, который был представлен в украденной базе. К тому же, как сообщили в ЦБ, «вся информация кодируется, и в случае кражи воспользоваться ею невозможно». Однако пообещали инициировать проверки как у себя, так и в банках и бюро кредитных историй.
Откуда что слилось
Специалисты в области IT-безопасности полагают, что независимо от источника виноваты в утечке службы IT-поддержки банков. «Обычно ни системные администраторы, ни даже служба безопасности — никто, кроме топ-менеджмента, не имеет полного доступа к подобной информации, — говорит глава компании LETA Александр Чачава. — Но представьте себе: ломается у топ-менеджера ноутбук, IT-подразделение чинит его и параллельно устанавливает специализированный шпионский софт. Потом ноутбук приносится домой, подключается к домовой сети по незащищенному каналу — и данные оказываются у неизвестных злоумышленников». При этом, по оценке господина Чачавы, стоимость организации такого хищения могла составлять порядка $100 тыс.
Экспертов по информационной безопасности нисколько не удивляет появление в продаже банковских баз. «Киберпреступники поняли, что корпоративные данные можно похищать и продавать практически безнаказанно, при этом получая больший доход, нежели от продажи простых пиратских дисков», — отмечает Александр Чачава. А непосредственные продавцы дисков с конфиденциальной информацией не сомневаются, что новые данные о клиентах банков вскоре окажутся на рынке.
Отсутствие спроса и предложения
Участники рынка опасаются, что случившееся может подорвать доверие населения к банкам. Банкиры теперь не смогут апеллировать к высокой степени защищенности банковской тайны. При этом они не спешат страховать возможные репутационные потери. «У нас нет страховки по этому виду риска. Но мы заботимся о защите своей базы данных. Проводится постоянный контроль, кто использовал какую информацию, для чего эта информация запрашивалась. У нас есть определенная процедура доступа к базе данных. Да и предложений таких от страховых обществ к нам не поступало. Думаю, что, когда базу уже утащили, по репутации банка это бьет настолько сильно, что это сложно компенсировать страховкой. Поэтому банк больше заинтересован не в страховании, а в том, чтобы вложить деньги в защиту информации», — рассказал заместитель председателя совета директоров открытого акционерного общества «АКБ „ИТ Банк“» Юрий Федотов.
По словам начальника отдела службы безопасности ОПСБ Сергея Фукса, в филиале «ОПСБ» ОАО «Инвестсбербанк» создано специальное подразделение, которое отвечает за организацию системы информационной безопасности, внедрение средств защиты, а также регулярное проведение аудита объектов и субъектов защиты. «Работаем согласно утвержденной концепции информационной безопасности филиала. Твердо убежден, что минимизировать риски утечки информации может только комплексный подход. В филиале применяются регламентация работ с критичной информацией, систематический инструктаж сотрудников, организация системы допуска к информационным ресурсам, а также с применением программных и программно-аппаратных средств защиты информации: шифрование, системы защиты от несанкционированного доступа к ресурсам и другие меры защиты», — рассказал господин Фукс.
Как оказалось, страховщики не готовы встать на защиту репутации банкиров. «Насколько мне известно, ни одна страховая компания на сегодняшний день финансовые риски не страхует. Этот продукт вообще не продуман, может, от неверия в людей. У нас точно такого продукта нет. Даже такого вопроса не ставилось. Мы страхуем заемщиков по требованию банков. Страхуем залоговое имущество и жизнь клиента», — пояснил заместитель директора омского филиала открытого акционерного общества «АльфаСтрахование» Владимир Кром.
Светлана Дементьева,
Анна Гадалина