Личные данные 3,5 тыс. клиентов АльфаСтрахования ушли неизвестно к кому

В начале ноября стало известно об очередной, совершенно не удивительной на общем фоне, утечке личных данных держателей карт кредитной организации – Альфа-банка, а также клиентов «АльфаСтрахования». Аноним, опубликовавший соответствующее объявление об их продаже на одном из специализированных форумов, заявил, что располагает свежими сведениями о примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования». Утечка не дает прямого доступа к счетам физлиц, но руководство банка, как и в случае с недавним проколом Cбербанка , вообще не торопится признавать наличие проблемы в корпоративной системе безопасности.

В бесплатном пробнике, который был выложен на спецфоруме, содержалось 13 договоров клиентов Альфа-банка и десять договоров клиентов «АльфаСтрахования». В сеть утекли: ФИО, дата рождения, паспортные данные, адрес регистрации, мобильный телефон, электронная почта, сумма кредитного лимита или оформленной страховки, предмет страхования, а также дата заключения договора. По словам продавца, все договоры Альфа-банка, которые есть у него в распоряжении, оформлены в октябре, а выгрузка базы произошла 22 октября. Договоры, заключенные в «АльфаСтраховании», оформлены в один день – 8 мая 2019 года.

Журналисты РБК организовали проверку сведений, указанных в образце, и выяснили, что при попытке перевести им деньги через мобильное приложение по номеру телефона в 11 случаях из 13 имена, отчества и первые буквы фамилий в приложении совпали с теми, что указаны в договоре, у оставшихся двух номера телефонов к карте банка не привязаны. Дозвониться удалось до девяти клиентов: большинство из них, в том числе те, кого не удалось проверить через мобильное приложение, подтвердили, что недавно оформляли кредитную карту в Альфа-банке. Одному из клиентов уже успели позвонить мошенники, и он заблокировал карту.

Руководство кредитной организации по традиции начало преуменьшать масштабы утечки, как будто никакой базы pdf-файлов с данными 3,5 тыс. клиентов в платный доступ не выкладывалось.

При этом потрясает его уверенность в том, что «возникновение данной ситуации не является следствием нарушения защиты корпоративной информационной системы банка». То есть вероятный человеческий фактор, который недавно оставил без защиты ПД как минимум 5000 клиентов Сбера (столько признал Греф, хотя мошенники на форуме заявляли о продаже сведений 60 млн. физлиц-клиентов), теперь вообще не считается частью системы защиты информации. Удобная позиция, но будет ли от этого легче жертвам утечки?

Представитель «Альфы» также отметил, что утечка не подвергает опасности средства на счетах клиентов, так как не содержит никаких данных, необходимых для доступа к счетам (а именно – номера карт и CVV-коды). Однако, мошенники могут воспользоваться информацией, чтобы, например, позвонить клиенту под видом банка и выяснить необходимые сведения для кражи денег. Банки при общении с клиентами никогда не запрашивают подобную информацию – соответственно, такие звонки надо как можно скорее сбрасывать и затем тут же перезванивать в банк по номеру, указанному на сайте или на карте.

Источник, близкий к ЦБ, предполагает, что «слив» ПД и Альфа-банка, и «АльфаСтрахования» на черный рынок мог совершить один и тот же человек – сотрудник банка, причем, скорее всего, из низового звена. По его версии, он сидел на обработке этих договоров и решил слить их на черный рынок, чтобы заработать. Другой эксперт компании, отвечающей за инфобезопасность, предположил, что источником утечки могли стать сотрудники кредитного отдела или отдела досудебного погашения задолженностей, т.к. именно они имеют доступ к различным базам для проверки клиентов.

Но суть от этого не меняется – как видим, ни одна, абсолютно ни одна база с электронными сведениями не может быть защищена на 100%. «Всегда будут находиться люди, готовые платить за такую информацию», – отмечают эксперты. Именно по этому ФЗ «О персональных данных» недвусмысленно запрещает объединять базы, реестры, перечни сведений и т.п., не связанные между собой по смыслу. Но именно это объединение и произошло уже в принятом Госдумой в первом чтении проекте закона о едином реестре населения под контролем налоговиков. Теперь вы сами можете представить масштабы грядущих утечек и уровень их потенциальных заказчиков. А ведь не за горами создание единой, всероссийской Национальной системы управления данными (НСУД), в которой планируется объединить 800 категорий сведений о каждом граждане – то есть вообще всю (!) имеющуюся у государства и частников информацию о нас с вами (включая биометрические данные), и оперативно ее обновлять. По большому счету, это является полным аналогом выставления на продажу государства целиком, и купить его наверняка можно будет по бросовой цене – как это случилось в прошлом году в Индии.

Думается, государство и частники, пытаясь победить проблему «человеческого фактора», пойдут по проторенной дорожке, а именно – усилят личный видеоконтроль за работниками, будут строго регламентировать их распорядок, не исключено, попытаются склонить их к имплантации каких-то датчиков, микрочипов, как это уже происходит в ряде американских и европейских компаний. Но все это вторичные меры по отношению к главной проблеме – любые «большие данные», передаваемые в открытом доступе через интернет/мобильные сети, по определению меньше защищены, чем документы, файлы и досье в традиционном, бумажном виде. Понимание этого факта пока еще не пришло к «инноваторам», но такими темпами, думается, ждать сего момента осталось недолго.

Все сознательные граждане, не желающие усугубления анархии с утечками персональных данных в открытый интернет, должны выступить единым фронтом против планов Госдумы принять законопроекты о «цифровом профиле» гражданина, против НСУД. Редакции «Катюши» хорошо известно, что заявления против токсичных цифровых законопроектов уходят в парламент сотнями, если не тысячами. И в преддверии второго чтения проекта закона о едином реестре населения под управлением все тех же незадачливых налоговиков все, кто не успел, могут написать «народным избранникам» (заявление против единого реестра + аналитика от ОУЗС).