Эксперт: «Утечка персональных данных в Сбербанке — еще «цветочки»

Утром 3 октября СМИ сообщили о масштабной утечке персональных данных клиентов Сбербанка. Как пишет «Ъ», в минувшие выходные на одном из специализированных интернет-форумов (впоследствии заблокированном Роскомнадзором) появилось объявление о продаже «свежей базы крупного банка».

Продавец обозначил, что в базе находятся данные по 60 млн кредитных карт, и выставил демо-версию, содержащую информацию о 200 клиентах.

Издание отмечет, что фрагмент базы содержит подробные сведения о финансовых операциях по картам. Предположительно, утечка произошла не позднее 24 августа 2019 года.

Основатель DeviceLock Ашот Оганесян заявил, что «это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка».

Сбербанк выпустил пресс-релиз, в котором подтверждает утечку данных «как минимум 200 клиентов банка» и сообщает о начатом служебном расследовании. В банке предполагают, что причиной стали «умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети». 

В связи с этим событием высказывается много разных экспертных мнений о необходимости усиления мер по защите данных клиентов, причем не только физических, но и юридических лиц. Последнее особенно важно, ведь если конфиденциальная информация о компании станет достоянием злоумышленников, пострадать могут десятки и сотни ее сотрудников. В качестве одного из способов предлагается работа с юрлицами через биометрию, однако директор «Бюро корпоративного консалтинга и безопасности» Алексей Долженков скептически относится к этому предложению.

«В свете истории с предположительным уходом «налево» данных порядка 60 млн карт Сбербанка довольно опасно выглядит инициатива Центрального банка, который разрабатывает положения для работы банков с юридическими лицами через биометрию. Имеется в виду, что полномочия человека совершать операции по расчетному счету юридического лица будет подтверждаться через биометрию. Сама по себе система биометрических данных довольно хорошо защищена от взлома, но при условии добросовестности сотрудников ее обслуживающих. Но может ли этим похвастаться Сбербанк?», — отметил в беседе с журналистом «Московской газеты» Алексей Долженков.

Эксперт считает что «происшествие в Сбербанке — «цветочки» по сравнению с тем, что могло произойти, напомнив, что «мошенничество с использованием персональных данных физического лица — не одно и то же, что и мошенничество с использованием данных представителя юридического лица (например, генерального директора, главбуха). Доступ к биометрическим данным топ-менеджеров компаний может быть использован не только для хищения средств с расчетного счета, но и в целях реализации схем рейдерского захвата путём формирования кредиторской задолженности и так далее».

«Мы не против прогресса, и, в частности, использования биометрии, но все-таки, прежде чем реализовывать подобные проекты, необходимо навести порядок в работе служб безопасности банков», — подчеркнул Долженков.