Татьяна Исакова об опровержимых доказательствах утечек

Новый год начался с громкого объявления о крупной утечке финансовых данных: 8 января проукраинская группировка Kiborg совместно с NLB (Nice Leak Bro, русскоязычные хактивисты) заявили о публикации якобы украденных еще в октябре данных клиентов Альфа-банка, утверждая, что речь идет о 38 млн человек (по итогам первого полугодия банк официально сообщал, что у него 27,9 млн клиентов-физлиц).

Представители банка утечку и тогда, и сейчас назвали «фейком» и «компиляцией данных из открытых источников». Несмотря на несоответствие числа клиентов, разобраться, кто прав, хакеры или банк, непросто. В 2023 году Альфа-банк вполне официально получил административное наказание по ст. 13.11 ч. 1 КоАП (нарушение законодательства РФ в области персональных данных). Но связано ли наказание именно с этой утечкой, неизвестно: материалы по делу не опубликованы, решение вынесено 9 сентября.

Похожая история в 2023 году произошла с утечкой у МТС-банка, ответственность за которую также взяла NLB. В компании тогда не подтверждали утечку «банковской тайны и иных чувствительных данных клиентов». Но в октябре Роскомнадзор подтвердил факт инцидента.

В целом, пока средние штрафы за утечки данных граждан не превышают 60 тыс. руб., компаниям проще отмолчаться или сразу опровергнуть инцидент, ссылаясь на старые данные. Но с введением внушительных штрафов — до 500 млн руб., которые сейчас рассматривает Госдума в рамках соответствующего законопроекта, ситуация может измениться, предупреждают специалисты в области информбезопасности.

Причем дело не только в прямых финансовых последствиях крупных штрафов. Мои собеседники говорят о риске шантажа со стороны злоумышленников, которые могут скомпилировать данные из прошлых утечек и пригрозить выдать их за результат нового инцидента. При высоком уровне штрафов откупиться может быть выгоднее, чем разбираться с регуляторами.

Между тем законопроект, вводящий оборотные штрафы за утечки данных, риска подделки утечек не оговаривает. Глава профильного комитета Госдумы Александр Хинштейн подтвердил, что этот аспект не поднимался в ходе работы над законопроектом, рассмотрение которого запланировано на весеннюю сессию.

Поэтому, признают участники рынка кибербезопасности, компаниям придется самим вырабатывать методы оперативного расследования инцидентов и «их грамотного опровержения». Например, публично и оперативно проводить проверку данных в слитых базах, будь то ФИО клиентов или номера карт, которые в каждом банке имеют уникальные комбинации цифр, так что выдать ее за карту якобы жертвы уже не удастся.