4 февраля МВД сообщило о попытке хищения средств из почти всех банков России, а уже на следующий день после обнародования информации Центробанк РФ предложил сделать обязательным сотрудничество банков с Центром по борьбе с киберугрозами. При этом законодатели по-прежнему молчат о том, чтобы оповещать об атаках и утечках информации непосредственно клиентов.

Для атаки извне чаще всего необходим сообщник «внутри»

Инициатива Центробанка, несомненно, положительно скажется на информационной безопасности банков. Однако, по-моему, странно думать о защите от внешних атак и не предусмотреть ответственность кредитных учреждений за обеспечение защиты от утечек. Ведь для атаки извне чаще всего необходим сообщник «внутри».

Что имеем?

За утечку придется заплатить от 500 тысяч до 1,5 млн рублей в зависимости от суммы ущерба

В прошлом году банковское сообщество активно обсуждало новость о заметном увеличении штрафов за разглашение банковской тайны. За утечку придется заплатить от 500 тысяч до 1,5 млн рублей в зависимости от суммы ущерба, также виновный может лишиться свободы на срок до семи лет. 

Много это или мало? Отметим, что, по сравнению с прежними размерами санкций (до 200 тысяч рублей при тех же тюремных сроках), это заметная цифра. Если посмотреть на существующую практику, то контраст становится особенно заметным. По сообщению «Коммерсанта», при обсуждении законопроекта об увеличении меры ответственности за разглашение банковской тайны Министерство финансов обнародовало следующую статистику: за 2013 год правоохранительные органы завели 317 уголовных дел по ст. 183 УК (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну). До суда добрались только 13 дел, по семи из них были вынесены обвинительные приговоры. Двое виновных были приговорены к лишению свободы, пятеро — к штрафам в размере 5–50 тысяч рублей.

Теперь посмотрим на зарубежный опыт. На Западе наказание во многом зависит от характера утекших сведений и от поведения банка после инцидента. Так, в начале этого года Morgan Stanley сообщил об обнаружении утечки данных около 10% клиентов подразделения по управлению состояниями. Банку повезло: сотрудник не выложил во Всемирную паутину пароли или номера социального страхования. Также служба безопасности своевременно уведомила об этом правоохранительные органы, а банк не стал скрывать инцидент от клиентов и прессы. Поэтому все закончилось увольнением виновного.

Если бы такая ситуация произошла в России после 1 июля, то сотруднику в любом случае пришлось бы заплатить штраф не менее 500 тысяч рублей, но сам банк оказался бы чист перед законом.

Наказание назначено такое, чтобы «другим неповадно было» утаивать утечки

В тех ситуациях, когда тайное становится явным вопреки желанию банкиров, санкции заметно строже. Около года назад завершилось расследование утечки информации, допущенной американским TD Bank еще в марте 2012-го. Банк потерял две ленты с резервными копиями данных более 90 тысяч жителей штата Массачусетс, и не проинформировал об этом ни клиентов, ни власти. Об инциденте стало известно лишь спустя семь месяцев. Наказание назначено такое, чтобы «другим неповадно было» утаивать утечки. Финансовое учреждение выплатит $325 тысяч в рамках гражданско-правовых санкций, оплатит судебные расходы в размере $75 тысяч, а также внесет $225 тысяч в фонд содействия образованию.

В России ответственность за утечки персонифицирована, поэтому наказание понес бы не весь банк, а сотрудник, чью вину доказало следствие. Кроме того, в России нет закона, обязывающего банк уведомлять заинтересованных лиц об утечках данных, несмотря на то что профессиональное сообщество говорит о необходимости его принятия уже более 10 лет. Такой инцидент в России, скорее всего, вовсе спустили бы на тормозах, несмотря на внушительное число пострадавших. Ведь установить все обстоятельства утечки спустя целых семь месяцев весьма и весьма непросто, особенно если в банке отсутствует DLP-система.

Зарубежная практика наказания банков за утечки данных изобилует примерами нетривиального подхода к проблеме наказания

Штраф — не единственная возможная мера ответственности за разглашение банковской тайны. Зарубежная практика наказания банков за утечки данных изобилует примерами нетривиального подхода к проблеме наказания. Так, три корейских банка лишились возможности выпускать новые кредитные карты для своих клиентов в течение четырех месяцев из-за слишком вольного обращения с их персональными данными. Наказание можно назвать беспрецедентным, но и сама утечка не относится к рядовым. Наказанные финансовые учреждения KB Kookmin Bank, Lotte Card и Nonghyup Card обслуживают около 40% населения Южной Кореи, а общее число пострадавших в результате утечек оценивается в 20 млн человек. Что интересно, все эти данные были похищены одним человеком, временно исполнявшим обязанности консультанта во всех трех банках.

Часто за утечку данных зарубежные финансовые институты наказывает не правительство, а международные корпорации, тесно связанные с банковской сферой

Трудно представить себе ситуацию, в которой регулятор по какой бы то ни было причине запрещает что-либо Сбербанку. Какое бы колоссальное количество данных ни утекло, максимальная сумма наказания для виновного — 1,5 млн рублей. Часто за утечку данных зарубежные финансовые институты наказывает не правительство, а международные корпорации, тесно связанные с банковской сферой. И банки страдают из-за действий своих контрагентов и партнеров. К примеру, в 2012 году из-за утечки данных 1,5 млн клиентов Visa прекратила сотрудничество с Global Payments. Эта компания была поставщиком услуг по обработке электронных транзакций, работавшим с многими американскими банками. Соответственно, огромное число клиентов этих банков не могли осуществлять операции с картами Visa, пока банк не перевел процессинг на другого подрядчика.

В конце концов для крупных банков сам рынок становится регулятором, «штрафующим» их за утечку понижением цены акций. Так, к примеру, произошло после обнародования сведений об утечках информации из американского Morgan Stanley. Оттуда утекли сведения сразу о 350 тысячах клиентов, а акции банка в результате упали в цене более чем на 3% — соответственно, и акционеры потеряли за один день десятки миллионов долларов.

Несмотря на существенное увеличение суммы штрафов за разглашение банковской тайны в РФ, мы видим, что сама суть законодательства не изменилась

Таким образом, несмотря на существенное увеличение суммы штрафов за разглашение банковской тайны в РФ, мы видим, что сама суть законодательства не изменилась. Ответственность за утечку данных несет не банк, а допустивший ее сотрудник. Сама организация даже не обязана предупреждать об инциденте своих клиентов, чтобы те имели возможность защитить свои персональные данные от возможных негативных последствий. Это позволяет говорить о необходимости дальнейшего совершенствования законодательства Российской Федерации в области банковской тайны. Ведь оно до сих пор защищает скорее сами банки, чем их клиентов, ставших жертвами утечки.

Что можно сделать, чтобы улучшить ситуацию?

  1. Внести в законодательство требование информировать об утечках всех, кто может от них пострадать.
  2. Ввести ответственность за неисполнение данного требования организацией.
  3. Наделить Центробанк правом приостанавливать лицензию по отдельным видам операций для банков, допустивших масштабные утечки.

С помощью этих простых шагов мы сможем добиться от банков действительно эффективной организации защиты от утечек информации. Пока же лишь самые ответственные из них всерьез занимаются этим, остальным проще заплатить штраф и продолжать работать, как работали.