проверка счета
В августе банковский сектор потрясла беспрецедентная утечка информации. В продажу на черном рынке поступили сразу две базы данных заемщиков — 700 тыс. и 3 тыс. записей. Раскрытие банковской тайны поставило под удар репутацию всей отечественной банковской системы. Теперь обращающиеся в банк за кредитом должны быть готовы к тому, что сведения, которые они сообщают о себе в анкетах, включая доходы и адреса, станут достоянием гласности.
Потребительские истории
В середине августа в российских сетях электронной почты появилось сообщение с предложением купить базу данных заемщиков банков, бравших потребительские кредиты. За сведения о более чем 700 тыс. заемщиков продавцы просили 90 тыс. руб. База данных содержала фамилию, имя, отчество и адрес каждого заемщика, название торговой сети, где приобретались товары, размер и срок кредита, ежемесячный платеж, размер просрочки и сумму санкций — информацию вполне достаточную для того, чтобы на ее основании выдать кредит или отказать в выдаче.
В правоохранительных органах сначала полагали, что база поддельная. Однако обзвон упомянутых в ней людей показал, что эта версия несостоятельна: все они признали, что действительно брали кредиты на указанные суммы в названных в базе торговых точках. Причем выдавали эти кредиты разные банки, в частности Хоум Кредит энд Финанс Банк (ХКФ-банк), банк "Русский стандарт" и Финансбанк. Поэтому ряд участников рынка подозревают, что информация "утекла" из банков. Наибольшие подозрения падают на ХКФ-банк, поскольку он единственный был представлен во всех указанных в базе торговых сетях, а в некоторых случаях выступал эксклюзивным кредитором.
Другие эксперты считают, что валить вину на банки преждевременно. Они обращают внимание на то, что в базе есть сведения о заемщиках нескольких банков, а совершить хищение информации сразу из нескольких банков было бы затруднительно. По мнению некоторых банкиров, утечку информации можно объяснить особенностями формата анкет, заполняемых претендентами на кредиты. Потенциальный заемщик указывает в ней информацию о ранее полученных кредитах. Так информация о заемщиках одного банка оказывается в базе другого.
Когда банки сливаются, покупаются базы
В конце августа рынок всколыхнуло новое известие о появлении базы заемщиков — правда, существенно меньшей по объему (3 тыс. записей) и гораздо более дешевой (900 руб.). В нее попали неблагонадежные заемщики банка "Первое ОВК", поглощенного в 2003 году Росбанком, получавшие кредиты в 2002-2003 годах. Записи о заемщиках в базе имели отметки службы безопасности. В Росбанке от официальных комментариев отказываются, однако неофициально источник "Ъ-Телекома" подтвердил, что во время слияния ОВК и Росбанка не все сотрудники были довольны процессом интеграции и "утечка могла послужить своеобразной местью".
Появление в продаже банковских баз данных произвело сильное впечатление как на клиентов банков, так и на банкиров. По информации, поступающей от представителей банковского сообщества, службы безопасности банков сейчас проводят беспрецедентные проверки сотрудников и IT-инфраструктуры на предмет возможных утечек информации. Впрочем, о том, что кто-то понес наказание за случившееся, пока неизвестно. Поэтому участникам рынкам остается валить вину друг на друга и выдвигать все новые версии происшедшего.
По словам зампред правления Инвестсбербанка Максима Чернущенко, "утечка могла произойти откуда угодно — из банков, бюро кредитных историй, коллекторских агентств, розничных торговых сетей". Правда, коллекторские агентства располагают информацией только о "плохих" заемщиках, в то время как в украденной базе были данные о людях, своевременно погашающих задолженность. А розничных торговых сетей слишком много, и договориться со всеми о "сливе" информации было бы крайне сложно.
В случае с продажей первой базы под подозрением оказался даже Банк России, в ведении которого находится Центральный каталог кредитных историй (ЦККИ). Но у регулятора есть алиби. По словам высокопоставленного источника "Ъ-Телекома" в Центробанке, ЦККИ не располагает информацией в том объеме, который был представлен в украденной базе. К тому же, как сообщили в ЦБ, "вся информация кодируется, и в случае кражи воспользоваться ею невозможно". Однако пообещали инициировать проверки как у себя, так и в банках и БКИ (бюро кредитных историй).
Кстати, следующими после банков под подозрением оказались именно БКИ. По закону о бюро кредитных историй банки обязаны передавать им информацию о заемщиках при наличии согласия последних. По данным ЦБ на июль 2006 года, в 21 бюро, зарегистрированном в реестре Федеральной службы по финансовым рынкам, накоплено больше 7 млн кредитных историй. 90% приходится на три крупнейших бюро — "Глобал Пэйментс Кредит Сервисиз" (ГПКЗ), контролируемое совместно ХКФ-банком и компанией Global Payments, Национальное бюро кредитных историй (НБКИ), созданное при АРБ, и сбербанковское БКИ "Инфокредит".
Правда, как утверждает замначальника управления ФСФР Алексей Волков, "БКИ не могли стать источником утечки информации, поскольку формат кредитной истории жестко закреплен законодательно и не предусматривает включения в нее информации о торговой сети; на 7 апреля общая база заемщиков, накопленная кредитными бюро, не могла составлять 700 тыс. записей, поскольку к этому времени БКИ проработали всего месяц".
Откуда что слилось
Специалисты в области IT-безопасности полагают, что независимо от источника виноваты в утечке службы IT-поддержки банков. "Обычно ни системные администраторы, ни даже служба безопасности — никто, кроме топ-менеджмента, не имеет полного доступа к подобной информации,— говорит глава компании LETA Александр Чачава.— Но представьте себе: ломается у топ-менеджера ноутбук, IT-подразделение чинит его и параллельно устанавливает специализированный шпионский софт. Потом ноутбук приносится домой, подключается к домовой сети по незащищенному каналу — и данные оказываются у неизвестных злоумышленников". При этом, по оценке господина Чачавы, стоимость организации такого хищения могла составлять порядка $100 тыс.
Экспертов по информационной безопасности нисколько не удивляет появление в продаже банковских баз. "Киберпреступники поняли, что корпоративные данные можно похищать и продавать практически безнаказанно, при этом получая больший доход, нежели от продажи простых пиратских дисков",— отмечает Александр Чачава. А непосредственные продавцы дисков с конфиденциальной информацией не сомневаются, что новые данные о клиентах банков вскоре окажутся на рынке. Так, человек, продававший базу данных банка "Первое ОВК" говорит, что в октябре в продажу поступит глобальная банковская база, а две уже вышедшие были ее промо-версиями. По их словам, база "Антикредит" объемом 3 млн записей должна появиться на рынке в октябре.
Хотя официально банкиры заявляют о незаконности использования таких данных, многие продавцы нелегально добытых сведений сообщили, что именно банковское сообщество проявляет наибольший интерес к украденным базам. "С моральной точки зрения покупать такую базу неэтично,— говорит начальник управления методологии и разработки новых кредитных продуктов Абсолют-банка Наталья Хахалина.— Но для эффективности работы банка, который занимается кредитованием физических лиц, такая база является существенной информацией".
Участники рынка опасаются, что случившееся может подорвать доверие населения к банкам, а в особенности к БКИ, которые только начинают свою деятельность на рынке. Банкиры, которые по закону должны запрашивать разрешение заемщика на передачу его данных в бюро кредитных историй, теперь не смогут апеллировать к высокой степени защищенности банковской тайны. Их последним аргументом остается то, что когда-нибудь банки начнут снижать процентные ставки клиентам, имеющим хорошую кредитную историю.