Пока клиенты «Сбербанка» осмысливали информацию о массовой утечке данных по кредитным картам, Герман Греф уехал в Сан-Франциско. Не на ПМЖ, а на международный форум, разумеется. Там, с американских берегов, он заявил журналистам, что после инцидента с утечкой «идет подготовка к реализации комплексной программы по улучшению системы безопасности». Ах, как это вовремя - когда утекло всё, что в принципе могло утечь! Как пела группа «Кар-Мэн», «это Сан-Франциско - город в стиле диско, это Сан-Франциско - тысячи огней».
Правда по частям
Человек, который выставил в даркнете (теневом Интернете) на продажу базу «Сбербанка», утверждал, что она содержит данные о 60 миллионах кредитных карт - как действующих, так и неактивных. В качестве доказательства он выложил в открытый доступ фрагмент базы на 200 фамилий - фамилии, имена, отчества, паспортные данные, домашние адреса, места работы, номера карт, сведения о банковских операциях. При проверке оказалось, что это - реальные, непридуманные люди. Журналисты, связавшиеся с анонимным продавцом, попросили пробить свои карты по полному варианту базы - и всё совпало. Это с большой вероятностью означает, что из «Сбербанка» мог быть вынесен значительный, если не весь, массив данных о клиентах.
Реакция Грефа и его команды была предсказуемой. Сначала достоверность сведений об утечке в принципе ставилась под сомнение. Главный аргумент: «Сбербанк» за всё время выпустил не 60, а 40 миллионов кредитных карт, а значит - всё это вранье. Видимо, расчет был на то, что скандал утихнет, не разгоревшись. Но публикаций в СМИ становилось всё больше. И на них необходимо было реагировать.
В итоге вскоре банк сообщил, что «в считанные часы» удалось выявить «28-летнего руководителя сектора в одном из бизнес-подразделений банка, попытавшегося осуществить хищение клиентской информации в корыстных целях». В пресс-релизе также было сказано, что Герман Греф «от себя лично и всей команды «Сбербанка» принес глубокие извинения 200 клиентам за инцидент». В общем, никаких 60 или 40 миллионов - всего 200 клиентов. Раздули, понимаешь, из мухи слона!
И всё бы прошло гладко, если бы в открытом доступе не всплыл еще один фрагмент украденной базы - уже на 1999 фамилий. Вот это был конфуз. Греф только-только отчитался о тушении информационного пожара, благополучно уехал в Америку - и снова полыхнуло.
Пришлось поломать голову над новой версией. Ее представили в очередном официальном пресс-релизе:
«Дополнительно было установлено, что в конце сентября сотрудник, совершивший преступление, продал несколькими траншами одной из преступных групп в теневом Интернете в совокупности пять тысяч учетных записей кредитных карт Уральского банка «Сбербанка», значительное количество из которых являются устаревшими и неактивными».
Прорехи безопасности
Попытки «Сбербанка» представить случившееся как незначительный инцидент понятны с точки зрения сохранения собственной репутации. Но на самом деле речь идет о грандиозном ЧП, потому что из финансового учреждения уплыли данные, которые могут позволить посторонним людям узнать сведения, отнесенные не только к персональным данным, но и к банковской тайне. Как сообщают СМИ, лицам, указанным в той части базы, которая выложена в открытый доступ, уже начали звонить мошенники, пытаясь выудить пин-коды и CVV действующих, а не «устаревших и неактивных» карт. И понятно, что ответственность за это должен нести не только полумифический «28-летний руководитель сектора», но и в первую очередь лично глава «Сбербанка».
За эти дни публика услышала от Грефа и его представителей столько благоглупостей, что волосы встают дыбом.
Сначала, например, сообщалось, что похититель, скорее всего, разобрал служебный компьютер и похитил из него жесткий диск, потому что на флешку переписать данные невозможно - система этого бы не позволила. То есть, переводя на русский язык, фактически утверждалось, что клиентская база могла храниться на одном из компьютеров в явном виде на обычном незащищенном носителе, что с точки зрения IT-безопасности - просто катастрофа. К тому же если из особо охраняемого административного помещения действительно был вынесен жесткий диск, это может говорить еще и о прорехах в охране подобного рода объектов.
Потом Греф, рассказывая о том, как искали преступника, заявил, что круг подозреваемых изначально составлял 35 человек, потом - сузился до двух, а из этих двоих был уже якобы вычислен супостат. Иными словами, ту же самую операцию по похищению данных теоретически могли провернуть 35 сотрудников банка.
Ну и апофеозом стали утверждения Грефа, что данные якобы не были опубликованы в открытом доступе - «они находятся у нас и еще в трех источниках, которые мы контролируем». Как можно контролировать «источники» в даркнете - большая загадка.
Всё это свидетельствует о том, что в главном банке страны - явные сложности как с выстраиванием системы безопасности и подбором ключевого персонала (а айтишники сейчас, безусловно, главные люди в любом финансовом учреждении), так и с пониманием цифрового мироустройства. Но ведь всем нам представляли «Сбербанк» как образец высокотехнологичного бизнеса, как «передовика цифровизации». Да и сам Греф преподносил себя чуть ли не мессией четвертой технологической революции.
Утечка за утечкой
Утечка в «Сбербанке» совпала по времени еще с двумя похожими инцидентами.
В минувшие выходные в даркнете появилась база абонентов домашнего интернета «Билайна» на 8,7 миллионов человек. Первоначально компания отреагировала почти по Грефу. «У нас сейчас всего 2,5 миллиона абонентов проводного интернета», - заявили в «Вымпелкоме», работающем под брендом «Билайн», и заподозрили информационную провокацию.
Только потом, когда ссылку на скачивания двухгигабайтного архива выложил для всех желающих один из популярных телеграм-каналов, «Вымпелком» признал, что речь идет о базе, которая утекла еще в конце 2017 года.
Но дальше - снова включилась всё та же «грефовская» пластинка: «Билайн» прилагает все усилия, чтобы подобное не повторялось и делает всё для немедленного удаления из сети интернет любой информации, связанной с персональными данными клиентов, - заявила пресс-служба компании. - Однако мы фиксируем повторные целенаправленные действия киберпреступников по публикации этих данных, что не только нарушает законы РФ, но и свидетельствует о намерении целенаправленно дискредитировать компанию».
В общем, слитая база и подставленные под удар абоненты - это ничто, а имидж - всё.
А чуть раньше, 3 октября, случилось ЧП в «Ростелекоме». Сразу после выхода президентского указа, в соответствии с которым «Ростелеком» должен стать 100-процентным владельцем сотового оператора Tele2, был взломан официальный паблик компании в соцсети «Вконтакте».
Хакер разместил от имени администраторов пост о том, что «Ростелеком» якобы проводит опрос, за который каждый участник получит 500 рублей - надо только перейти на сторонний сайт и указать там данные своей банковской карты. Понятно, что после этого деньги с карты должны были исчезнуть. В паблике «Ростелекома» - 253 тысячи участников. Даже если хотя бы 10 - 20 человек из их числа поддались на уловку - это уже особо крупный ущерб.
Взломы пабликов в соцсетях - явление частое, основная причина - дискредитация паролей. Но случай с «Ростелекомом» важен потому, что именно эта организация отвечает за модернизацию сайтов органов государственной власти, разработку сайтов для ведущих промышленных предприятий страны, а главное - определена оператором Единой биометрической системы для физлиц и бизнеса.
Вы только представьте - в одной базе будет собрана вся биометрия большой страны. Если ее будет так же легко взломать, как паблик «Вконтакте», какой простор появится для разного рода мошенников!
А еще представьте, что вместо бумажных паспортов будет мобильное приложение, как это предлагает сделать «Ростелеком», а вместо медицинских карт - цифровые носители, на которых соберут всю информацию о здоровье человека. И потом обе эти базы будут выставлены на продажу в даркнете.
Наказания не будет
Во всех трех случаях - со «Сбербанком», «Билайном» и «Ростелекомом» - никакого наказания для должностных лиц этих организаций не последовало. Во всяком случае, общественности об этом ничего не известно.
В любой цивилизованной стране акционеры в подобных ситуациях немедленно бы отстранили топ-менеджеров от должностей - на период расследования, а в суды поступили бы коллективные иски пострадавших пользователей на многомиллионные суммы.
У нас же Герман Оскарович в самый разгар скандала вокруг «Сбербанка» отправился на презентацию нового сезона конкурса «Лидеры России» (помпезного соревнования карьеристов всех мастей и разной степени бездарности с характерным слоганом «Россия - страна возможностей»). А потом - отчалил в Америку. Это всё равно если у человека пожар в квартире - а он надевает галстук-бабочку и беззаботно идет на банкет.
Кстати, удивительно, что Грефа, как и многих других фигурантов «Кремлевского доклада», свободно пускают в США. Глава «Сбербанка» числится в этом докладе за номером 98, и ничего - ездит туда-сюда. Это нам хотят хамон запретить ввозить из-за границы для личного потребления, это нам рассказывают по телевизору, что Америка строит России бесконечные козни, а у Германа Оскаровича - всё хорошо: мир, дружба, жвачка.
Про разбор полетов в «Ростелекоме» по поводу взлома официального паблика - тоже ничего не слышно. Наверное, даже админов не накажут, не говоря уже о менеджменте. Зато эта компания активно борется со своими пользователями, которые пытаются модернизировать ТВ-приставки - так, чтобы смотреть телевидение бесплатно. В августе, например, один такой «преступник», сделавший прошивку для своей приставки, «благодаря совместным действиям внутренней службы безопасности липецкого отделения «Ростелекома» и отдела «К» УМВД по Липецкой области был осужден по статье 272 УК РФ («Неправомерный доступ к компьютерной информации») к выплате штрафа в размере 60 тысяч рублей.
Это как раз та статья, которую надо применять в случаях, о которых мы рассказали. Но пока что нет информации даже о возбуждении уголовных дел. Ах да, информагентства передавали, что «Сбербанку» погрозил пальчиком Роскомнадзор - ведомство потребовало «предоставить информацию по утечке персональных данных». Ни о каких других санкциях речь не идет.
Это, конечно, удивительная лояльность, особенно на фоне жестких требований, которые предъявляются в последнее время к малому бизнесу. Фирмы, где всего один - два работника, с недавних пор обязаны разрабатывать и утверждать положение о персональных данных сотрудников и четко соблюдать все требования законодательства по их обработке. Иначе - штраф.
Но генеральные директора этих фирм - они же простые люди. Не Грефы и не «Вымпелкомы». Их можно штрафовать.
Николай ПЕЧЕРНИКОВ,
Алексей НИКОЛАЕВ,
интернет-журнал «Интересант»