Центробанк проверит банки на утечку
Центробанк намерен проверить уровень информационной безопасности в банках. Как пишет в четверг "Коммерсант", письма с предупреждением о грядущих проверках ЦБ уже разослал участникам рынка.
Информацию о получении писем от ЦБ газете подтвердили в целом ряде банков, в частности в Бинбанке. О таких же письмах сообщили в нескольких аудиторских компаниях, консультирующих банки, а также в ряде IT-компаний.
Под информационной безопасностью ЦБ понимает систему мер защиты банка от утечки конфиденциальной информации, в первую очередь о его клиентах.
Речь идет о проверке выполнения стандарта "Обеспечение информационной безопасности организаций банковской системы РФ". В документе указывается, что наибольшими возможностями для нанесения ущерба банку обладает его собственный персонал. Сейчас этот стандарт носит рекомендательный характер и необязателен для исполнения.
По сведениям издания, к грядущим проверкам Банк России готовится с начала года. Для проведения проверок ЦБ разработал проект стандарта по аудиту информационной безопасности в банках и проект методики оценки ее соответствия требованиям стандарта.
Эти документы были представлены для обсуждения в Ассоциацию пользователей стандартов ЦБ по обеспечению информационной безопасности организаций банковской системы России. После того как документы будут утверждены, ими будут руководствоваться аудиторы при проверке информационной безопасности в банках и сами сотрудники ЦБ.
Таким образом Банк России среагировал на утечки банковской конфиденциальной информации, участившиеся в последние полгода. С лета 2006 года в продаже на черном рынке стали появляться базы заемщиков–физических лиц. Источником утечки эксперты и сами банкиры называли службы безопасности банков.
Как отмечает издание, участники рынка опасаются, что проверки выявят огромные объемы утечки конфиденциальной банковской информации, в первую очередь о корпоративных клиентах.
Справка
Крупнейшие скандалы с кражами баз данных
В 1992 году в Москве впервые появились компакт-диски с информацией о физических лицах – абонентах МГТС. Источник утечки не найден, диски с обновлениями продаются до сих пор.
В 1996 году в продаже появилась информация об абонентах сотового оператора "Вымпелком". Компания позднее заявила, что нашла и наказала виновных. В ноябре 2002 года в Москве появился первый тираж дисков с данными об абонентах сети МТС, в январе 2003 года вышел второй тираж – с информацией о 5,5 млн абонентов компании. Источник утечки найден не был.
20 мая 2003 года в Санкт-Петербурге появились диски с данными о 4,5 млн клиентов сотовых компаний "МегаФон", "Телеком XXI", "Северо-Западный телеком" и "Петерстар". По одной из версий, утечка произошла через правоохранительные структуры.
В июле 2004 года "Вымпелком" сообщил милиции о сайте sherlok.ru, предлагавшем информацию об абонентах "Билайна", "МегаФона" и МТС в Москве и Санкт-Петербурге. 26 ноября задержаны семеро подозреваемых, в числе которых трое сотрудников "Вымпелкома". В марте 2005 года Останкинский суд приговорил их к различным штрафам.
В феврале 2005 года в Москве появилась база данных о банковских операциях Центробанка в 2003-2004 годах, 20 мая стало известно о выходе нового, дополненного издания. 25 октября замглавы управления безопасности и защиты информации Московского управления ЦБ Владимир Бабкин заявил, что канал утечки перекрыт, но не назвал конкретных виновных.
8 ноября 2005 года появились в продаже данные о доходах в 2004 году 9,9 млн жителей Москвы и области. 16 ноября 2005 года ФСБ объявила о задержании лиц, причастных к хищению баз данных Центробанка РФ и ФНС. Имена подозреваемых, а также их дальнейшая судьба неизвестны.
15 августа 2006 года ряд бюро кредитных историй и банков получили по электронной почте предложение купить базу данных заемщиков, бравших потребительские кредиты. База содержала 700 тыс. записей. 7 сентября гендиректор Национального бюро кредитных историй Александр Викулин заявил, что утечка произошла из двух или трех банков. Конкретные банки названы не были.
"Коммерсант"
Дословно
Ирина Зурабова
Зачастую преступные группы внедряют в банк человека, который является специалистом по взломам IT-систем, и он обеспечивает кражу конфиденциальной информации.
"Коммерсант", 15.03.2007