Спецпроекты

Безопасность Госрегулирование Пользователю Стратегия безопасности ИТ в банках Техника

«МТС банк» «протек». Доказана утечка данных 1 млн россиян, в которой банк винил других. Наказание – анекдотически маленький штраф

Факт того, что «МТС банк» допустил огромную утечку персональных данных россиян (пострадали около 1 млн человек), официально подтвержден – Роскомназдор опубликовал резолюцию. Однако никакого серьезного наказания банк не понесет – оно буквально не предусмотрено действующим российским законодательством, Максимум, что грозит «МТС банку», чистая прибыль которого в 2022 г. превысила 3 млрд руб. – это штраф в размере до 100 тыс. руб.

Утечка доказана

Роскомнадзор официально подтвердил факт утечки в «МТС банке». Финорганизация допустила попадание в Сеть сведений о персональных данных около 1 млн своих клиентов в сентябре 2023 г. и попытался свалить вину на других.

«Утечка произошла не в каком-либо конкретном банке, а, предположительно, у ретейл-компании либо поставщика цифровых сервисов, которые хранят и обрабатывают платежные данные пользователей именно в таком виде, – говорится в официальном заявлении банка, опубликованном в его Telegram-канале. – Инфраструктура «МТС банка» не подвергалась атакам, данные пользователей вне опасности».

Роскомнадзор доказал факт утечки в «МТС банке» и составил на него административный протокол о нарушении законодательства о защите персональных данных, сообщил «Ведомостям» сотрудник регулятора. По его словам, документ будет передан в суд для дальнейшего рассмотрения.

mt62.jpg
Фото: МТС банк
«МТС банк» рад новым клиентам. Но обеспечить безопасность их персональных данных он не в состоянии

Однако, даже если суд признает «МТС банк» виновным в утечке, банку как организации будут грозить лишь репутационные потери, потому что действующее в России законодательство не предусматривает сколь-нибудь существенное наказание для крупного бизнеса (да и в целом для бизнеса) за халатное отношение к персональным данным россиян. Банку может грозить штраф размером всего-навсего от 60 до 100 тыс. руб.

Россияне в большой опасности

Утечка из «МТС банка» – это три CSV-файла, которые неизвестный хакер выложил в Сеть. Первый файл содержит 1 млн строк, по одной на каждого клиента банка – в нем приведены ФИО, даты рождения, пол, номера ИНН и гражданство. Это очень чувствительная информация сама по себе, поскольку может использоваться многочисленными злоумышленниками, например, в схемах мошенничества.

Второй файл, который «МТС банк» упустил – это база данных с более 3 млн строк и детальными подробностями о банковских картах. В частности, в нем приведены частичные номера карт (шесть первых и четыре последних цифры), даты выпуска этих карт и сведения об их типе (дебетовая, кредитная, корпоративная).

В подобной ситуации главное - попытаться свалить вину на другого

Третий файл – это настоящий «подарок» «МТС банка» всем телефонным мошенникам и спамерам, которые, как сообщал CNews, стали названивать россиянам в разы чаще, чем раньше. Документ под завязку забит номерами телефонов клиентов банка (1,8 млн) и адресами их электронной почты (50 тыс.).

Все могло быть хуже

По заверениям «МТС банка», попавшая в интернет информация не представляет опасности, хотя и только для так называемой «банковской тайны». Однако, используя все вышеперечисленные сведения, мошенники легко могут выведать нужную им информацию у доверчивых россиян и обчистить их счета в «МТС банке» или любом другом банке.

Что еще важнее, выложивший базу данных в Сеть хакер утверждает, что это всего лишь малая часть имеющейся у него информации о клиентах «МТС банка». По его словам, в его распоряжении есть файл с 21 млн строк.

Согласно статистике банка, на конец 2022 г. количество активных пользователей платежных и цифровых сервисов «МТС банка» составляло почти 12 млн человек «в экосистеме МТС». «Из них свыше 3 млн являются клиентами банка», – указано на сайте финорганизации.

Есть, к чему стремиться

Утечка персональных данных миллиона россиян считается очень крупной. К слову, группа МТС периодически допускает попадание в интернет и информации об абонентах одноименного оператора – в 2011 г. в свободном доступе оказался файл со сведениями о 1,5 млн человек, подключенных к сети МТС – это были ФИО, номера телефонов, паспортные данные и даже домашние адреса.

Фото: МТС банк
До Сбербанка «МТС-банку» пока далеко. Как по числу клиентов, так и по масштабам утечек

Но все же новая утечка в «МТС банке» даже близко не является самой крупной в стране. В этом плане банк не смог сравниться со Сбербанком, который осенью 2019 г. слил в интернет поистине гигантскую базу данных с информацией приблизительно о 60 млн своих клиентов. В начале 2023 г. утек и архив с персональными данными почти 48 млн пользователей программы лояльности «Сберспасибо».

Когда деньги важнее репутации

Те 100 тыс., которые «МТС банк» рискует отдать государству в качестве наказания за утечку, никак не отразятся на его финансовой стабильности. Его выручка по итогам 2022 г. выросла на 38% год к году и составила 67,1 млрд руб., а чистая прибыль хоть и сократилась на 37% за тот же срок, но все еще исчисляется суммами с девятью нулями – 3,15 млрд руб.

Размер штрафа за утечку персональных данных в настоящее время никак не зависит количества россиян, пострадавших в результате нее. Как сообщил «Ведомостям» партнер коллегии адвокатов Pen & Paper Сергей Учитель, в результате банкам финансово выгоднее выплатить несколько десятков тысяч рублей штрафа, нежели вкладывать десятки миллионов рублей в закупку, интеграцию, наладку и обслуживание технических средств защиты от взлома и утечек.

Стоит отметить, что вышесказанное касается не только финансовых организаций. Утечку персональных данных может допустить любая крупная компания, например, сервис доставки еды, и утечка эта может быть в разы крупнее, и все равно придется заплатить не более 100 тыс. руб. Власти рассматривают возможность введения оборотных штрафов за утечки персональных данных – некоторым компаниям придется выплачивать миллиарды рублей.

Разумеется, бизнес резко противится таким нововведениям. Россияне, тем временем, уже почти забыли, что такое безопасность персональных данных – CNews писал, что по итогам 2022 г. количество утечек в России выросло в 40 раз год к году. Количество пострадавших перевалило за 100 млн человек, а это две трети населения России.

Георгий Дорофеев

Короткая ссылка