Звонки телефонных мошенников от имени служб банковской безопасности стали обыденностью. Зачастую о потенциальной жертве им известно практически все. Но как злоумышленникам удается заполучить конфиденциальную информацию из баз под надежной охраной?
Проблемы с контролем
Исследование группы компаний InfoWatch показало: количество утечек данных в финансовом сегменте в 2020-м достигло 71 млн. случаев. Эта цифра более чем на треть (36,5%) превышает показатели года предыдущего. Портал Life.ru напоминает: в 2019-м зафиксирован 51 млн. случаев доступа к данным клиентов разных банков.
Среди крупнейших игроков банковского рынка России утратой контроля над частью клиентских данных в прошлом году отметились:
- «Альфа-банк»: в теневом секторе Интернета 24 июля был размещен текстовый фрагмент базы с 64 записями о клиентах; Россельхозбанк: за незаконную передачу третьим лицам данных крупных корпоративных клиентов сотрудник Кемеровского отделения 27 июля приговорен к исправительным работам; ВТБ: в Telegram-каналах в конце августа были распространены данные 31 тыс. карт клиентов;
Сбербанк также не единожды фигурировал в делах об утечке, самая крупная из которых произошла в 2019 году. За разглашение банковской тайны бывший менеджер получил реальный срок — 2 года 10 мес. лишения свободы. Такой приговор в сентябре 2020-го вынес Красногорский горсуд Московской области
Распродажа по-дешевке
Завершившаяся колонией-поселением история начиналась вроде бы безобидно. Руководитель сектора управления прямых продаж Московского банка Сбербанка Сергей Зеленин вошел во внутреннюю сеть с рабочего компьютера и заархивировал подробные данные 60 миллионов клиентов Сбербанка.
Банковская служба безопасности была уверена в надежной защите сети. По их мнению, скачать многотомный архив объемом 5,7 Гб невозможно… Но Зеленин прибег к хитрости: он разбил данные на 187 частей и каждую прикрепил к письму в Outlook (стандартный офисный почтовый клиент). Неотправленные письма автоматически сохранялись в «черновиках». Позже под своим корпоративным аккаунтом менеджер вошел в систему через ноутбук и скачал на флеш-карту все части архива из «черновиков».
Для такой манипуляции не потребовалось продвинутых хакеров, хитрых вирусов или троянов. Любой из тысяч сотрудников Сбера при желании мог бы повторить подобный трюк.
Скачанный Зелениным архив содержал записи об операциях по картам, остатках по счетам, сгруппированным по территориальным банкам, а также персональные данные: фамилию, имя, отчество клиента, его паспортные данные, дату рождения, адрес места жительства, номер мобильного телефона, полный номер кредитной карты, место работы и остаток собственных средств. По сведениям Life, всего 60 млн записей — почти всех клиентов Сбера.
Затем Зеленин под ником «SHERLOCK Servise: ПРОБИВ и БАЗЫ ДАННЫХ ПО РФ» устроил распродажу содержимого файлов на теневой площадке HYDRA. Любой желающий мог приобрести данные интересующего клиента за 5 рублей. Лишь благодаря зорким журналистам торговлю чувствительной информацией удалось быстро пресечь. К тому Зеленин времени успел продать 5000 строк базы на 25 тысяч рулей. Пойманный с поличным сотрудник первым делом письменно обратился к главе Сбербанка.
«Понимая, что любые последующие действия принесут еще больший ущерб, принял решение уничтожить базу данных на всех носителях, — написал он Герману Грефу. — Флеш-карту разобрал, сжег и остатки выбросил на МКАД в районе Путилково».
Угроза утечек
Не исключено, что спустя время копия «уничтоженной» флешки аукнется клиентам Сбера. Гуманный российский суд не отправил Зеленина в тюрьму: он будет отбывать наказание в колонии-поселении. С учетом домашнего ареста осужденному предстоит провести там пару лет. А при хорошем поведении есть шанс освободиться условно-досрочно уже через несколько месяцев.
Заведующий Западной коллегии адвокатов Москвы Александр Инютин называет приговор Зеленину самым строгим в стране за подобные преступления.
«В иных случаях наказания злоумышленникам назначали в виде штрафа, что, на мой взгляд, в некоторой степени создает угрозу развития этого сегмента преступной деятельности. Ведь, если наказание минимальное, а прибыль есть, это, очевидно, провоцирует недобросовестных сотрудников на противоправные действия», — считает юрист.
В ходе судебного процесса банк подал к бывшему сотруднику гражданский иск на 25 856 157 руб. В такую сумму Сбер оценил ущерб своей деловой репутации. Однако юристы не предоставили суду доказательств репутационных потерь, поэтому апелляция отклонила многомиллионный иск. Но о клиентах, чьими данными торговал горе-менеджер, особого беспокойства в ходе процесса не высказано. Госбанк даже не принес извинения гражданам, счета которых находятся под угрозой.
По словам члена Московской областной коллегии адвокатов Богдана Леськива, «слитые» базы данных в основном интересуют торговцев. Они начинают названивать с неизвестных номеров, предлагая россиянам купить «нужные товары».
«При этом в случае, если в этих данных есть информация, например, о паспортах, о банковских счетах и о суммах размещенных на них средств, то владельцы этих счетов становятся мишенью для преступников, которые промышляют мошенничеством или вымогательством», — уточняет адвокат.
Банк ушел от наказания
Зеленин уже отбывает заслуженное наказание, но сам Сбер не понес никакой ответственности за проблему с защитой конфиденциальных данных. Между тем Роскомнадзор мог бы поинтересоваться условиями, способствующими преступлению. Пункт 6 статьи 13.11 КоАП гласит, что нарушение оператором требований законодательства в области обработки и хранения данных карается штрафом до 50 тыс. руб.
Для крупнейшей в стране финансовой организации штрафные санкции выглядят ничтожными. Однако реакция государства заставила бы руководство Сбера громко заявить о «недопустимости предательства» в своих рядах и пересмотреть подходы к хранению клиентских баз. Но ничего подобного не произошло…
Неизвестно и о реакции мегарегулятора на приговор менеджеру Сбербанка. Хотя именно он согласно закону «О Центробанке РФ» осуществляет контроль за соблюдением законодательства о противодействии незаконному использованию инсайдерской информации (п. 18.3 ст. 4). Вероятно, «мелочи» в виде утечки данных банковских клиентов не особо волнуют ЦБ. Гораздо больший энтузиазм он демонстрирует в борьбе с легализацией незаконных доходов и при проверке банков на нормативы по процентным ставкам.