Из банков "утекла" БД российских заемщиков?Дата: 16 августа 2006 года
Источник:
www.cnews.ru В Интернете появились предложения продать базу данных российских пользователей потребительских кредитов. По мнению экспертов, это либо беспрецедентная утечка конфиденциальной информации, либо фальшивка, дискредитирующая банки.
Предложения о продаже БД заемщиков поступили по электронной почте нескольким бюро кредитных историй и банкам, сообщает "Коммерсант". В предлагаемых для ознакомления образцах содержатся данные лиц, бравших кредиты на приобретение товаров в торговых сетях. Размер базы огромен для этого сектора банковских услуг – более 700 тыс. записей. Каждая запись включает ФИО заемщика, его адрес, название торговой сети, где была совершена покупка в кредит, сумма покупки, размер первоначального взноса, размер кредита, срок кредита, размер ежемесячного платежа, объем просрочки и сумма санкций.
Телефон для связи принадлежит анонимной компании, продающей на черном рынке налоговые, таможенные и прочие базы. За всю базу продавцы просят 90 тыс. руб., что гораздо меньше рыночной стоимости кредитных историй – одна такая история в кредитном бюро стоит около $0,4.
"Теоретически утечка могла произойти откуда угодно: из банков, бюро кредитных историй, торговых сетей, коллекторских агентств",– говорит зампред правления Инвестсбербанка Максим Чернущенко. Однако коллекторские агентства не располагают подобными объемами информации о заемщиках. К тому же, говорит г-н Чернущенко, в них аккумулируются черные списки заемщиков, в то время как база содержит информацию и о добросовестных клиентах банков. Собрать информацию минимум по десятку крупных торговых сетей, которые могут обладать подобной информацией, по мнению экспертов, тоже крайне проблематично.
Высокопоставленный источник в Банке России не допускает утечки информации из Центрального каталога кредитных историй (ЦККИ): "Во-первых, к нам поступает не вся информация, в частности, там нет имен заемщиков. Кроме того, она кодируется, и в случае кражи воспользоваться ею нельзя". Тем не менее, по его словам, сам факт того, что информация о заемщиках стала предлагаться к продаже, крайне встревожила Банк России.
Как считает гендиректор бюро кредитных историй "Глобал Пэйментс Кредит Сервисиз" Олег Лагуткин, технологический уровень работы ведущих кредитных бюро слишком высок, чтобы допустить подобную утечку. А по словам гендиректора кредитного бюро "Экспириан-Интерфакс" Николая Димченко, рядовые сотрудники его бюро видят информацию в зашифрованном виде, и доступ к базе уполномоченных лиц возможен только в условиях жесткого контроля. Правда, ряд экспертов указывают на случаи, когда база данных хранится не на собственном сервере БКИ, а отдается на аутсорсинг.
"То, что источником утечки информации не могли стать БКИ, очевидно по трем причинам,– говорит замначальника управления регулирования деятельности участников финансового рынка ФСФР Алексей Волков. – Формат кредитной истории жестко закреплен законодательно и не предусматривает включения в нее информации о торговой сети". Второй довод в пользу невиновности БКИ, по мнению г-на Волкова, – на 7 апреля 2006 г. даже общая база по заемщикам, накопленная всеми БКИ, не могла составлять более 700 тыс. записей, поскольку к этому моменту бюро успели проработать лишь месяц. Правда, участники рынка отмечают, что некоторые БКИ начали сотрудничать с банками еще до внесения бюро в госреестр БКИ в марте этого года, и наиболее расторопные могли успеть накопить базу такого объема. Однако Алексей Волков отмечает, что "базы БКИ подлежат обязательной сертификации и переводятся на русский язык", а поля выставленной на продажу базы обозначены англоязычными наименованиями.
По мнению участников рынка, предлагаемая база скорее напоминает базу данных ритейловых бэк-офисных банковских программ. Таким образом, главное подозрение в разглашении конфиденциальной информации падает на банки, работающие в торговых розничных сетях.
Специалисты в сфере информационной безопасности сходятся во мнении, что утечка базы была бы невозможна без помощи служб ИТ-поддержки банков. Также происшедшее, по их мнению, можно объяснить халатностью топ-менеджмента банковских структур, имеющих доступ к конфиденциальной информации. "Обычно ни системные администраторы, ни даже служба безопасности – никто, кроме топ-менеджмента, не имеет полного доступа к подобной информации. Но, допустим, ломается у топ-менеджера ноутбук, ИТ-подразделение чинит его и параллельно устанавливает шпионский софт",– говорит Александр Чачава, президент компании Leta. По его мнению, бюджет такого хищения мог составлять около $100 тыс.
В МВД не исключают версию и о поддельной базе. Купить эту БД полностью оперативникам пока не удалось, хотя они пытались сделать это неоднократно. В таком случае предложения в Интернете можно расценивать как попытку дискредитировать сферу банковского потребительского кредитования в России.
"События последних лет, когда достоянием гласности стали конфиденциальные данные большинства правительственных структур, в том числе Налоговой службы, ЦБ, Таможенной службы, и коммерческих организаций (операторы мобильной связи, регистраторы) наводят на мысль, что этим бизнесом занимаются не любители-одиночки, а профессиональные преступные группировки, поставившие дело на широкую ногу - от закупки сведений и их обработки до сети распространителей", - говорит Денис Зенкин, директор по маркетингу компании InfoWatch.
"На мой взгляд, разобраться и найти источник утечки в сложившихся условиях будет очень трудно, если вообще возможно. Система аккумулирования и обмена подобными сведениями имеет существенные архитектурные недостатки, связанные с большим количеством организаций, имеющих доступ и отсутствием единого подхода к защите данных, - добавляет г-н Зенкин. - Это подтверждает и то, что специалисты не могут понять кому принадлежали похищенные данные, хотя даже такой простой метод, как специальные метки, свойственные каждому источнику их хранения и обработки могли бы решить проблему.
Не исключено, что база данных действительно является подделкой. В феврале этого года мы уже наблюдали такой прецедент, когда мошенники предлагали куклу вместо проводок ЦБ. Однако, вне зависимости от того, окажется база данных фальшивкой или нет ясно одно - в глазах потребителей доверию банковской системе нанесен значительный ущерб. Это еще раз подтверждает, что банкам давно пора внедрить действительно эффективную систему защиты, чтобы в подобных случаях незамедлительно локализовать канал утечки, выявить и наказать виновных или же диагностировать "куклу"".
"Такая утечка вполне могла произойти, поскольку, по нашим наблюдениям, банки и вообще финансовые структуры довольно "близоруки" в вопросах защиты информации, - считает Алексей Раевский, генеральный директор компании SecurIT. - Они часто забывают, что в их задачу входит не только сохранение денег своих клиентов, но и обеспечение конфиденциальности информации о том, как эти клиенты своими средствами распоряжаются. Некоторые эксперты говорили о том, что ничего не помешает появлению на черном рынке баз данных кредитных бюро еще два года назад – когда закон о кредитных историях только был принят. Так и произошло. Получается, что в службах безопасности финансовых структур относятся к проблеме защиты информации как к чему-то второстепенному, не хотят или не могут адекватно оценивать риски, связанные с информационной безопасностью, и реагируют на появление новых угроз с большим запозданием. Думаю, что если ситуация не изменится, то и в дальнейшем мы будем часто видеть такие сообщения в новостных лентах".