В даркнете выложены на продажу персональные данные около 6 тыс. сотрудников аудиторско-консалтинговых компаний России и стран СНГ, входивших в международную сеть E&Y. По словам экспертов, такая информация несет риски не только для самих аудиторов, но и для их клиентов. Но даже если данные не будут использованы, утечка создает для участников рынка серьезные репутационные риски.
Фото: Игорь Иванко, Коммерсантъ
Фото: Игорь Иванко, Коммерсантъ
На теневом форуме появилось предложение приобрести базу данных сотрудников аудиторско-консалтинговых компаний, ранее входивших в группу E&Y. Об этом сообщил ТГ-канал основателя сервиса разведки утечек данных и мониторинга даркнета DLBI Ашота Оганесяна, предупредив об отсутствии гарантии достоверности.
Как утверждает продавец, в базе содержится контактная информация порядка 6 тыс. сотрудников международной сети, из которых около 200 партнеров и примерно 2 тыс. сотрудников «руководящих позиций», в том числе директора и менеджеры, работающие в компаниях в России, Казахстане, Армении и Грузии.
Помимо имен и фамилий указаны должности, подразделения, а также личная электронная почта и номера телефонов. В ООО «Эрнст энд Янг» (после недавнего переименования — ООО «Центр аудиторских технологий и решений — аудиторские услуги») заявили, что изучают появившуюся информацию.
Эксперты сходятся во мнении, что источником утечки мог быть инсайдер из компании. По мнению Ашота Оганесяна, данные вывел уволенный сотрудник департамента IT или отдела кадров, так как у этих подразделений есть доступ к подобной информации. Источник на рынке аудита добавляет, что в E&Y до ухода международной сети из России система подчинения строилась так, что российский офис руководил отделениями в СНГ, «поэтому, вероятнее всего, утечка произошла именно из него».
E&Y на российском рынке была представлена рядом юридических лиц. Кроме упомянутого выше ООО это, например, «Эрнст энд Янг — бизнес консультирование», «Эрнст энд Янг — оценка и консультационные услуги», «Эрнст энд Янг ИТ».
Суммарная выручка, согласно отчетности по РСБУ, за 2021 год оценивается в 16,5 млрд руб.
На начало 2022 года количество сотрудников составляло более 4 тыс. человек. Среди крупнейших клиентов в 2021 году были Банк России, РЖД, «Роснефть», ВТБ, «Русал», ФСК ЕЭС, «Магнит».
Участники рынка отмечают, что, если выложены реальные данные, такая утечка происходит впервые на аудиторском рынке. «У любой аудиторской и консалтинговой компании накоплено много конфиденциальной клиентской информации, если она не смогла сберечь данные собственных сотрудников, что можно сказать про клиентские?» — поясняет собеседник “Ъ” на аудиторском рынке.
По словам управляющего партнера ФБК Алексея Терехова, репутационные риски влекут риск потери клиентов, поэтому компании щепетильно относятся к своей безопасности, особенно стратегически значимые. Впрочем, по его словам, обычно аудиторы хранят информацию, как персональную, так и аудиторскую, включая отчетность, в различных системах хранения информации, используя чаще всего облачные технологии, при этом эти системы имеют разную степень защищенности. Гендиректор Zecurion Алексей Раевский подчеркивает, что «неправильно настроенные базы данных в облаках могут сами по себе стать причиной утечки данных». Ну и потенциально любой сотрудник может стать инсайдером, особенно тот, кого увольняют, отмечает господин Раевский.
Контактные данные сотрудников могут использовать злоумышленники, которые захотят добраться до сведений об их клиентах.
Киберпреступники получат возможность правдоподобно представляться сотрудниками аудитора в ходе фишинговых атак, добавляет руководитель группы анализа угроз информационной безопасности Positive Technologies Вадим Соловьев.
Юристы отмечают, что компании, ответственной за утечку данных, согласно КоАП РФ, грозит штраф. Возможна и гражданско-правовая ответственность, если лица, чьи данные появились в открытом доступе, предъявят иск о компенсации морального вреда. Впрочем, уточняет адвокат юрфирмы «Рустам Курмаев и партнеры» Ярослав Шицле, как правило, компенсация морального вреда в рамках ст. 151 ГК РФ составляет 10–100 тыс. руб.