В общем доступе оказался черный список отказников ЦБ по антиотмывочному законодательству. По предварительным данным в сеть «слили» порядка 120 тысяч анкет на физические лица и юридические компании.
Как сообщает «КоммерсантЪ», в этот черный список включают в том случае, если платеж, сделанный или полученный компанией, не соответствует ее основной деятельности, либо операции такого рода вызывают сомнения у банка. Размещенная в интернете база данных содержит порядка 120 тыс. записей. Эксперты утверждают, что связанная с Банком России информация оказывается в открытом доступе впервые.
Большую часть базы составляют физлица и индивидуальные предприниматели (ИП), меньшая часть приходится на юрлиц. Если говорить о физических лицах, то в сети оказались их ФИО, дата рождения, а также серия и номер паспорта. В случае с ИП общедоступными стали номера ИНН. Что касается юрлиц, то в базе по ним указаны их наименование, ИНН и ОГРН. Эксперты в области информационной безопасности не смогли вспомнить другого случая, когда утечка данных о клиентах банков имела отношение к ЦБ.
Оказавшиеся в открытом доступе записи датируются второй половиной 2017 года. Именно в июне того года Банк России начал рассылать черный список клиентов. Механизм рассылки выглядит примерно так: банки направляли информацию о потенциально недобросовестных клиентах в ЦБ, который, в свою очередь, передавал информацию Росфинмониторингу. Последний,обработав полученные от банков данные, возвращал их регулятору, который рассылал участникам рынка базу данных в обобщенном виде. Таким образом, в распоряжении у всех банков имелся список, сформированный коллективными усилиями всего сектора. Как сообщают источники, база оказалась в открытом доступе еще зимой, однако и ЦБ, и Росфинмониторинг оставались в неведении до вчерашнего дня.
Ведомства отрицают причастность к утечке информации. Так, в Росфинмониторинге исключают, что информация в интернет попала по их вине. В Центробанке заверяют, что передача закрытых данных третьим лицам произошла из-за некоей финансовой организации, которая несла ответственность за их сохранность.
В думском комитете по финансовому рынку не исключают, что утечка черного списка Центробанка могла произойти из-за кибератаки.
Утечка могла произойти множеством способов — из ЦБ, Росфинмониторинга, любого банка, — указывают эксперты в области информационной безопасности. Они отмечают, что с точки зрения безопасности было бы логично, чтобы база находилась лишь у ЦБ, а банки — направляли регулятору запросы для проверки клиентов. Наличие копий базы у участников рынка эксперты называют ошибкой при проектировании системы.
Последствия публикации базы для тех клиентов, которые в ней упомянуты, могут оказаться довольно серьезными. Речь идет не только о раскрытии их персональных данных, но и самого факта присутствия в базе. При этом некоторые могли быть внесены в базу и вовсе по ошибке, отмечают юристы. Что же до потенциальных проблем для этих граждан в будущем, то, в первую очередь, это сложности со службами безопасности при устройстве на работу, а также отказы контрагентов от сотрудничества.
Кроме того, публикация базы ЦБ посягает на неприкосновенность личной жизни. В УК есть соответствующая статья, которая предусматривает за данное преступление максимальное наказание в виде лишения свободы на срок до пяти лет.
Также эксперты указывают на то, что попасть в черный список можно в том случае, если платеж, сделанный или полученный компанией, не соответствует ее основной деятельности, либо операции такого рода вызывают сомнения у банка. Соответственно, на операции таких компаний накладываются ограничения, и информация об этом сразу попадает в Росфинмониторинг. Впрочем, уголовная ответственность по указанной статье возникает крайне редко. При этом работник, чьи права были нарушены, может дополнительно претендовать на компенсацию морального вреда. По словам юриста, размер выплаты может составить около 15–20 тысяч рублей.
В целом же все компетентные лица сходятся во мнении, что бороться с последствиями распространения этой информации в сети достаточно сложно, привлечь кого-то к ответственности тоже не получится, так как в этой истории достаточно много ответственных лиц и организаций.
Заметим, что публикация базы ЦБ — это не первый случай утечки персональных данных россиян за последнее время. Так, прошлым летом достоянием общественности стали сканы паспортов, данные о банковских платежах, билеты на самолеты и поезда. Как оказалось, проблемы с безопасностью сделали доступными данные пользователей сайтов Сбербанка и ВТБ, а также департамента транспорта Москвы и агрегатора билетов Trip.com.
Осенью выяснилось, что копии паспортов граждан России и целого набора других важных документов хранятся в открытом доступе на серверах российских МФЦ.
Маргарита Петрова