«Коммерсантъ»: данные 120 тысяч банковских клиентов из чёрного списка ЦБ опубликовали в интернете

Данные 120 тысяч банковских клиентов из чёрного списка Центрального банка, которым отказали в обслуживании по закону об отмывании денег и финансировании терроризма (115-ФЗ), опубликовали в интернете, передаёт «Коммерсантъ».

Газета уточнила, что один из банков неофициально подтвердил, что в списке есть «реальные клиенты-отказники». Журналисты считают, что базу опубликовали несколько месяцев назад, но ЦБ и Росфинмониторинг узнали о ней только 11 апреля.

  • По мнению «Ъ», механизм рассылки чёрного списка выглядит так: банки передают ЦБ информацию о клиентах, которым отказали в обслуживании по закону об отмывании денег. Регулятор направляет эти данные Росфинмониторингу, который обрабатывает данные и возвращает их ЦБ, который передаёт данные обратно банкам;
  • В базе содержатся данные с 26 июня 2017 года по 6 декабря 2017 года, большая часть клиентов — физлица (в интернете оказались ФИО, даты рождения и данные паспорта) и индивидуальные предприниматели (ФИО, ИНН), а также юридические лица (наименование компании, ИНН, ОГРН);
  • Росфинмониторинг заявил, что с их стороны утечки быть не может. В ЦБ уточнили, что регулятор передаёт информацию «в зашифрованном виде по защищённым каналам связи с использованием сертифицированных средств криптографической защиты информации». По мнению Банка России, ответственность за сохранность информации несёт банк, который получил данные;
  • Юристы, опрошенные «Ъ», считают, что утечка опасна самим фактом присутствия в базе — в чёрный список клиенты могут попасть случайно, что может сказаться, например, при устройстве на работу. «Часто банки вносят добросовестных клиентов в чёрные списки по халатности или в связи с технической ошибкой», — сообщила юрист FMG Group Амина Аппаева;
  • Гендиректор разработчика систем защиты информации Zecurion Алексей Раевский считает, что ошибку с точки зрения информационной безопасности допустили при проектировании системы — «база должна находиться только у ЦБ, а банки должны направлять регулятору запросы для проверки клиентов». Раевский добавил, что в таком случае утечку было бы проще локализовать.

Источник:

Обсуждение закрыто.