Банки нашли крайнего в скандале с утечками данных. В ответ их обвинили в безалаберности

В 2019 году в прессе часто мелькали публикации о слитых в интернет данных вкладчиков Сбербанка, ОТП банка, Альфа-банка, Бинбанка, Райффайзенбанка, «Хоум Кредита», и Тинькофф банка. Информатором в таких публикациях, отмечают «Известия», выступала IT-компания DeviceLock. Именно ее эксперты по кибербезопасности обнаруживали утечки и объявления анонимных продавцов в DarkNet.

По сведениям газеты, в 2018 году IT-компания предложила свои услуги Сбербанку, однако кредитная организация оферту отклонила.

«Упоминание неоднократных утечек данных не является обоснованным, так как не соответствует действительности», — написал старший вице-президент организации Никита Волков гендиректору DeviceLock Олесе Ярмоленко.

Предложения о закупке системы предотвращения утраты данных от DeviceLock получали в Альфа-банке, «Открытии» и Тинькоффе. Все кредитные компании от сотрудничества отказались. Через некоторое время в СМИ появлялась информация об утечках данных вкладчиков. При этом в большинстве опрошенных изданием банков пояснили, что их проверки не подтвердили достоверность опубликованных сведений. Лишь в Сбербанке пояснили, что скомпрометированными оказались пять тысяч записей, но не 60 миллионов, как утверждали в DeviceLock.

Безосновательная ложь

В самой DeviceLock изданию заявили, что компания предлагает продукты разным банкам. Многие, как, например, ВТБ или банк «Дом.РФ», соглашаются на сотрудничество. Новости об утечках, по их мнению, связаны с «некомпетентностью конкретных сотрудников банков, отвечающих за информационную безопасность». А масштабы сливов из банков, пояснил он, как правило, гораздо больше официально признаваемых.

В беседе с «360» технический директор DeviceLock Ашот Оганесян подтвердил, что компания предлагает свои решения абсолютно всем российским банкам и также отслеживает все утечки данных, связанные с российским финансовым рынком. Заявления банков о публикации DeviceLock информации об утечках якобы после отказа от сотрудничества он назвал «ложью, не имеющей под собой никаких оснований».

«Между нашими контактами с банками, заявившими сегодня об этом, и появлением в продаже баз их клиентов прошло от года до полутора лет. Если банкиры рассчитывали, что факт предложения им наших услуг наложит на нас обет молчания относительно их безалаберности в обращении с данными клиентов, то они просчитались», — подчеркнул Оганесян.

Взять на испуг

Сотрудник департамента защиты информации одного из российских банков Николай Пятиизбянцев сообщил «360», что могут возникнуть ситуации, когда предложения о сотрудничестве выглядит как шантаж. Но не уверен, что этим занимались в DeviceLock. Насколько ему известно, компания ищет в интернете данные об утечках, а затем передает их СМИ или публикует в своих соцсетях и мессенджерах.

«Назвать это шантажом не могу. С моей точки зрения, это немного другое. Это если бы они сказали: „Заплатите нам, или мы опубликуем эти сведения“. Насколько я знаю, они этим не занимаются, я не слышал об этом», — сказал Пятиизбянцев.

Обычно продавцы любых решений по кибербезопасности применяют стандартный торговый ход. Они красочно расписывают опасности, которые подстерегают банки, если не воспользоваться предлагаемыми средствами защиты.

«Любая компания, которая продает что-то, связанное с безопасностью, все время пугает клиентов большими рисками. Предупреждает, что если продукт не купят, то могут понести ущерб. Но эту конкретную ситуацию я не знаю», — добавил он.

Бизнес-стиль

Хакер Александр Варской сообщил «360», что предложения DeviceLock о сотрудничестве с упоминанием о найденных утечках не шантаж, а стиль ведения бизнеса. И лично ему он симпатичен. Компания нашла утечки, предложила защиту банкам. Но сами сливы произошли из других источников. Тот же Сбербанк, напомнил Варской, сообщал, что некоторые данные пользователей утекли от сотрудника, который работал в одном из бизнес-подразделений организации. И к DeviceLock никакого отношения тот не имеет.

При сегодняшнем развитии техники и технологий, добавил он, утечки и сообщения о них будут появляться каждый день. Поскольку банки не слишком пекутся о сохранности персональных данных вкладчиков.

«В их сметы при их создании и при их деятельности никогда не входила закупка какого-то серьезного оборудования для безопасности. Это в Европе, где банки обслуживают семьи по 700 лет и живут за счет этого, есть понятие „банковская тайна“. В Италии, например, Германии, Франции», — пояснил хакер.