Источник новостей о массовых утечках данных мог иметь коммерческий интерес, заявили «Известиям» в крупнейших финансовых организациях. В Альфа-банке, «Открытии» и Тинькофф-банке рассказали, что сообщения о компрометации персональных данных из их систем появились в прессе после того, как они отклонили предложение компании DeviceLock. Именно эта организация обращала внимание СМИ на объявления о продаже персональной информации банковских клиентов в большинстве громких публикаций этого года. Сбербанк, вокруг которого скандал разгорелся на прошлой неделе, также ранее отвергал оферту, следует из его переписки с DeviceLock (есть у «Известий»). В самой IT-компании опровергли заявления о связи отказов в сотрудничестве с сообщениями о компрометации банковских систем. Насколько серьезный урон наносит репутации банков публикация сведений об утечках и есть ли правовые основания для претензий к DeviceLock — разбирались «Известия».
Говорит и показывает
В 2019 году СМИ сообщали о выставленных на продажу в DarkNet баз данных клиентов Сбербанка объемом 60 млн записей, ОТП-банка (800 тыс. записей), санируемого «Открытием» Бинбанка (70 тыс.), Альфа-банка (55 тыс.), банка «Хоум Кредит» (24,5 тыс.), Тинькофф-банка (16,5 тыс.) и Райффайзенбанка (3 тыс.).
В своих публикациях медиа ссылались на провайдера услуг кибербезопасности — компанию DeviceLock, обнаружившую в Сети соответствующие объявления от анонимных продавцов. «Известия» попросили фигурантов историй об утечках прокомментировать это наблюдение.
В Сбербанке на вопрос не ответили. Однако, как узнали «Известия», в июне 2018 года DeviceLock обращалась в организацию с предложением своих услуг. Сбербанк оферту отклонил. Об этом говорится в письме старшего вице-президента кредитной организации Никиты Волкова гендиректору DeviceLock Олесе Ярмоленко (документ есть у «Известий»).
«Упоминание вами (представителем DeviceLock. — «Известия») неоднократных утечек данных не является обоснованным, так как не соответствует действительности», — подчеркивал в своем ответе топ-менеджер Сбербанка.
В Альфа-банке заявили, что получали от DeviceLock предложение о закупке системы предотвращения утраты данных. Запрос от IT-организации сопровождался оповещением об обнаружении записей, якобы принадлежащих клиентам банка, уточнили в его пресс-службе. Предложение DeiviceLock не было принято, а через определенное время последовала публикация в прессе об этой утечке.
Аналогичные истории «Известиям» рассказали в банках «Открытие» и «Тинькофф».
Ложь и провокация
На вопрос «Известий» о достоверности публикаций СМИ об утечках в большинстве упомянутых банков (кроме «Хоум Кредит», где не отреагировали на запрос) сообщили, что эта информация в результате проверок не подтвердилась. Сбербанк в итоге заявил о компрометации 5 тыс. записей, а не 60 млн, как утверждалось в сообщении DeviceLock.
— Оценивая размер утечки, мы ориентируемся на данные, которые у нас есть, и никогда не заявляем о размере базы безапелляционно, — заявил основатель организации Ашот Оганесян. Если это предложение в DarkNet, то компания ориентируется на слова продавца и всегда это подчеркивает, уточнил он.
Впрочем, он добавил, что в банковском секторе, как показывает практика, масштаб утечек почти всегда больше, чем заявляют банки, так как после соответствующих сообщений ими зачастую не предпринимаются никакие действия, кроме опровержений.
На вопрос, есть ли взаимосвязь между отказом банков от сотрудничества и сообщениями о продаже в DarkNet персональных данных он ответил, что DeviceLock предлагает свой продукт абсолютно всем кредитным организациям и отслеживают все утечки, связанные с российским финансовым рынком.
— Заявления о связи публикации нами информации об утечках и якобы отказе от сотрудничества с нами — конечно же, ложь, не имеющая под собой никаких доказательств. Нам бы хотелось, чтобы авторы [таких обвинений] открыли свое лицо, но пока они почему-то прячутся за анонимностью, — заявил Ашот Оганесян. — Появление новых утечек связано не с нашими усилиями, а с банальной некомпетентностью конкретных сотрудников банков, отвечающих за информационную безопасность.
Ашот Оганесян уточнил, в России услугами его компании пользуются, например, ВТБ и банк «Дом.РФ», а за границей — BNP Paribas и ряд японских организаций. Сообщения об утечках данных от российских клиентов DeviceLock в публичном пространстве обнаружить не удалось.
Не подкопаться
Репутации банков от публикаций сведений об утечках наносится существенный урон, однако правовых оснований для претензий к DeviceLock у них практически нет, уверены юристы.
Если компания не информирует об утечках в утвердительной форме, ограничиваясь лишь сообщениями о продаже в DarkNet баз данных определенного массива, то она не делает ничего противозаконного, пояснил партнер юридической фирмы «Дювернуа Лигал» Александр Арбузов. А ответственность за неверную интерпретацию СМИ сообщений от DeviceLock, когда анонсированный анонимными продавцами объем утечки выдается за реальный, лежит на конкретных изданиях, добавил он.
В случае если DeviceLock распространила заведомо недостоверную информацию об утечке данных о 60 млн кредитных карт банка, к компании могут быть предъявлены требования, основанные на нарушении ею так называемого закона о фейковых новостях, добавил руководитель практики «Интеллектуальная собственность и информационные технологии» юрфирмы Borenius Алексей Грибанов. Делать выводы о выставленной на продажу информации по небольшой выборке, оказавшейся в открытом доступе, некорректно: база данных зачастую значительно меньше, чем заявлено в ее описании, заявил ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.
Крупнейшие игроки рынка ранее проводили исследования, аналогично анализу DeviceLock, но они были приостановлены, поскольку не все эксперты соглашались с этими выводами, рассказал Александр Ковалёв, замгендиректора Zecurion (также специализируется на кибербезопасности). Такую деятельность вполне можно назвать пиаром, добавил он.
Вне зависимости от того, достоверны ли сведения, заявленные продавцами утраченных баз, утечки из банков — это факт, признавал в интервью «Известиям» замдиректора департамента информационной безопасности ЦБ Артем Сычёв. Впрочем, по его мнению, по сравнению с общим объемом утрат бизнесом информации о своих клиентах потери финансовых организаций — это «капля в море».
На просьбу оценить медиаполитику DeviceLock в отношении банков в ЦБ, Роскомнадзоре и Роспотребнадзоре не ответили. Замглавы Минкомсвязи Алексей Волин передал «Известиям» через пресс-службу, что объявления о продаже в DarkNet баз данных, просочившиеся в СМИ, существенно влияют на репутацию кредитных организаций. Однако законодательством не запрещено сообщать в прессу о том, что кем-то были опубликованы такие предложения. А «если кому-то что-то не нравится, то можно пойти в суд», заявил Алексей Волин.