ЦБ проверит утечку Сбербанка

Банк России считает ситуацию с утечкой данных о кредитных картах Сбербанка очень сложной. Однако начать проверку инцидента в крупнейшей кредитной организации планируют лишь в следующем году. При этом регулятор обещает принимать меры в отношении банков за утечки клиентских данных.

«Мы оцениваем его (случай с утечкой в Сбербанке.— “Ъ”) как очень непростой»,— цитирует ТАСС первого замдиректора департамента информационной безопасности Банка России Артема Сычева с форума Finopolis. По его словам, хотя банк и перевыпустил кредитные карты, по которым произошла утечка, находящаяся в открытом доступе информация — это «отличный материал для тех, кто занимается социальной инженерией».

Впрочем, проводить проверку Сбербанка в связи с утечкой персональных данных ЦБ планирует лишь в начале 2020 года в рамках плановой надзорной проверки, уточнил господин Сычев. В частности, регулятор изучит, какие меры принял банк для предотвращения таких случаев в будущем. «Что касается утечек, надо понимать, что это не только наша компетенция, но и компетенция Роскомнадзора,— приводит слова Артема Сычева “РИА Новости”.— Здесь, безусловно, определенные меры, которые мы можем в рамках закона принимать, мы будем принимать».

Эти меры регулятор будет принимать во время плановых проверок, выяснив, произошла утечка из-за проблем с корпоративным управлением или в результате человеческого фактора.

Об утечке данных о кредитных картах Сбербанка “Ъ” сообщил 3 октября. Соответствующая база была выставлена на продажу на одном из теневых ресурсов. Продавец задекларировал, что всего он продает данные о 60 млн кредитных карт, и согласился на проведение любых проверок. Во фрагменте базы на 200 строк, с которым ознакомился “Ъ”, содержались как подробные, достоверные и актуальные на конец августа сведения о самих картах, включая номер, срок действия, кредитный лимит и остаток, так и персональные данные об их владельцах, в том числе ФИО, паспорт, различные номера телефонов, место жительства и место работы.

Сбербанк лишь частично признал утечку. Сначала он признал утечку данных о 200 картах (соответствует количеству карт в «пробнике», который продавец бесплатно предлагал потенциальным покупателям). Позже, 3 октября, глава Сбербанка Герман Греф выступил в эфире программы «Вести» на телеканале «Россия 1». Тогда он назвал цифру 60 млн карт «информационным шумом», а также заявил, что утекли данные лишь о 200 картах. При этом он подчеркнул, что они не попали в открытый доступ, а также принес извинения их владельцам. Кроме того, он заявил о задержании сотрудника, который, по оценке банка, мог совершить кражу этих данных.

Однако уже 6 октября в открытом доступе (доступны для скачивания без ограничений) появилось несколько баз с кредитными картами Сбербанка. В частности, “Ъ” изучил базы на 300, 500 и 1999 клиентов.

Банк после запросов СМИ заявил, что обнаружил новые факты. В частности, что утечка затронула не 200, а 5 тыс. учетных записей по картам клиентов Уральского банка Сбербанка. При этом Сбербанк не ответил на вопрос, откуда у продавца были аналогичные данные о клиентах из другого региона (“Ъ” в рамках проверки под видом потенциального покупателя запрашивал у продавца информацию о картах сотрудников издания и оперативно получил абсолютно достоверные данные как об открытых, так и о закрытых картах). Кроме того, несмотря на сообщения банка о задержании предполагаемого преступника, продавец продолжал еще несколько дней заходить на теневую площадку.