Международный консорциум журналистских расследований (ICIJ) заявил, что женевское отделение банка HSBC по обслуживанию частных клиентов получало значительные доходы от тайных счетов преступников, в том числе членов наркокартелей и продавцов оружия, не плативших налоги. Среди клиентов банка - королевские семьи, послы, бизнесмены, спортсмены, подозреваемые в терроризме люди и наркодилеры. В числе клиентов банка, чьи имена стали достоянием общественности, были Дэвид Боуи, Кристиан Слейтер, Джон Малкович, Михаэль Шумахер, Марат Сафин.

В отчете ICIJ упоминаются счета более чем 100 тысяч физических и юридических лиц из почти всех стран мира — на сумму более 100 миллиардов долларов.

По сумме долларовых вкладов связанные с Россией клиенты заняли 35-е место в списке, следует из данных на сайте ICIJ. Первые 50 строк списка занимают страны Европы (в частности - Швеции), Америки и Ближнего Востока, Индия, Австралия а также офшоры.

Услугами швейцарского отделения HSBC воспользовались 740 человек, связанных с Россией, но меньше трети (30%) обладали российским паспортом или были россиянами по происхождению. Они владели 1,56 тыс. банковских счетов. ICIJ напоминает, что один клиент может быть связан с несколькими странами, а для примерно 20 тыс. клиентов связи не установлены вообще. Максимальная сумма на счету, связанном с Россией - $327,6 млн долларов. При этом, по данным ICIJ, у подавляющего большинства клиентов "из России" на счетах суммы меньше $10 млн. Свыше 40% связанных с Россией счетов - номерные, когда вместо имени вкладчика счет идентифицируется по номеру, что обеспечивает максимальную конфиденциальность (в среднем по женевскому отделению HSBC эта цифра составляет более 35%.). Еще около 25% "российских" счетов открыты на офшорные компании (в среднем около 15%). Счета на физических лиц (самые прозрачные) составляют примерно 35% (в среднем по отделению около 50%). По количеству клиентов Россия находится на 27-м месте.

По данным СМИ, в списке российских клиентов HSBC оказались бывшие чиновники, руководители "Роснефти", госбанкиры, а также их родственники. В их числе имена бывшего замминистра энергетики Петра Нидзельского и его супруги Лидии, члена совета директоров "Газпрома", бывшего главы Мингосимущества Фарита Газизуллина и его супруги Татьяны, бывшего председателя Фонда социального страхования и замруководителя Федерального агентства по здравоохранению Юрия Косарева, сына бывшего зампреда правления "Газпрома" Вячеслава Шеремета. Вадим Шеремет подтвердил, что у него был такой счет, но он его закрыл "лет пять назад". Также сообщается, что экс-президент "Роснефти" Сергей Богданчиков стал клиентом банка в марте 2007 г., когда еще руководил госкомпанией. А бывший директор коммерческого департамента "Роснефти" Николай Каплун завел счет в январе 2007 г., когда он еще работал в "Роснефти.

Участникам экспертного пула Bankir.Ru было предложено ответить на вопрос: "Какими последствиями грозит утечка данных о "секретных счетах" для банка и его клиентов?"

Комментирует Дмитрий Кленов, партнер UFG Wealth Management:

- Прежде всего нанесен репутационный ущерб банку, который в должной мере выполнял свои обязательства о неразглашении информации о своих клиентах.
Данные о счетах были получены в результате неправомерных действий сотрудника банка и, скорее всего, ущерб клиентам возмещен не будет.

Комментирует Андрей Гойлов, руководитель отдела аналитики компании RoboForex:

- У банка HSBC — точнее, у его швейцарского подразделения, — уже была подобная история в 2006-2007 годах. Тогда трейдер похитил данные по 24 тыс. банковских счетов для передачи их в налоговые органы. Некоторые страны, например, активно покупают краденые банковские данные с тем, чтобы позже обработать их внутри налоговой системы. Утечка данных в конкретном случае снова грозит банку репутационными потерями, но в последние 3 года крупные банковские структуры и так активно сотрудничают с налоговыми органами. Кроме того, не исключено, что HSBC столкнется с массовым оттоком депозитов и размещением их на счетах конкурентов.

Комментирует Сергей Кочергин, аналитик компании EXNESS:

- После утечки информации репутация банка HSBC будет подорвана. Это может привести к изъятию физическими и юридическими лицами денежных средств из него. Для предотвращения оттока вкладов банку HSBC придется повысить процентные ставки по депозитам и/или уменьшить различные комиссии, что в свою очередь негативно скажется на прибыли данного кредитного учреждения.
В нашей стране, согласно КоАП РФ, нарушение требований о защите информации (за исключением информации, составляющей государственную тайну) влечет наложение административного штрафа на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.

Комментирует Антон Запольский, PR-директор АО НПФ "Солнце. Жизнь. Пенсия.":

- Данная ситуация безусловно крайне негативно скажется на деловой репутации банка и его операционной деятельности. Во всяком случае то информационное и регуляторное давление, которое предстоит пережить банку в ближайшее время, сильно осложнит его повседневную деятельность и заставит пересмотреть коммуникационную и маркетинговую стратегию в среднесрочной перспективе. На финансовых показателях эта утечка вряд ли скажется, так как в надежности банка и после этого скандала никто не будет сомневаться, а отток клиентов возможен только из числа тех, у кого не лады с законом или чьи капиталы имеют сомнительное происхождение, что в целом сыграет банку только в плюс. Основной негативный эффект будет получен банком в будущем, так как после вскрывшихся фактов многие корпоративные клиенты, институциональные инвесторы и VIP-клиенты банка будут испытывать давление общественного мнения и при прочих равных постараются воспользоваться услугами других финансовых структур аналогичного уровня.

Комментирует Евгений Сачков, старший аудитор отдела безопасности банковских систем компании «Информзащита»:

- «Изначально данные были получены через экс-сотрудника ИТ-отдела HSBC Эрве Фальчиани, который при увольнении в 2008 году забрал конфиденциальную информацию на пяти дисках. Информация касалась личностей клиентов и данных об их счетах по состоянию на конец 2006 и 2007 годов.»
Инцидент еще раз напоминает о необходимости контроля за действиями сотрудников – и речь не об их активностях в социальных сетях, а о доступе к защищаемым данным и выявлении аномального поведения. Любые события, характеризующие нетиповое поведение пользователя (или нетиповое состояние информационной системы) должны быть своевременно проанализированы оператором SIEM – системы мониторинга и корреляции событий безопасности.
Главной проблемой в таких случаях выступает недостаточно проработанный (а порой – вообще отсутствующий) процесс приоритезации событий ИБ: так как штат операторов системы мониторинга невелик, проанализировать абсолютно все события, генерируемые системой, не представляется осуществимым.
Вполне возможно, что местный SIEM даже выявил подозрительную активность, но параметры события – уровень конфиденциальности информации, должность сотрудника, планируемое увольнение – не повысили приоритет события настолько, чтобы оператор SIEM обратил на него внимание.
О действительно работающем механизме выявления инцидентов ИБ можно говорить только тогда, когда в SIEM банка будут настроены не только правила выявления событий ИБ за счет анализа первичных источников событий (что банки настраивают в первую очередь), но и адекватные механизмы приоритезации событий, а также их корреляция друг с другом.

Комментирует Андрей Воробьев, эксперт по информационной безопасности компании «Андэк»:

- Для предотвращения подобного рода краж недостаточно просто технических средств защиты информации, таких как шифрование данных, системы предотвращения от утечек информации. Необходимы дополнительные организационные меры, направленные в первую очередь на исключение физического контакта злоумышленника с информацией, содержащей конфиденциальные данные. К таким мерам относятся:

  •  выделение специальных защищенных помещений для размещения средств хранения носителей информации;
  •  организация хранения конфиденциальной информации на специальных промаркированных носителях;
  •  организация регламентированного доступа пользователей к работе на ЭВМ, средствам связи и к хранилищам носителей конфиденциальной информации;
  •  постоянный контроль за соблюдением установленных требований по защите информации.

Комментирует Тимофей Плец, глава международного агентства по финансовым и корпоративным коммуникациям Detail Communications:

- Если отвлечься от правовых последствий, то эта утечка еще и очень серьезный удар по репутации HSBC, который, безусловно, скажется на финансовых результатах банка. С этой точки зрения у них сейчас две проблемы. Первая это то, что они изначально допустили такую утечку конфиденциальных данных своих клиентов. Вторая – имидж организации, которая сотрудничает с террористами и бывшими диктаторами. Последнее с чем хочет ассоциироваться любой банк, так это с самой крупной утечкой данных клиентов в истории своей отрасли.

Комментирует Евгений Пухов, технический консультант компании CommVault Россия, работающей в сфере защиты и управления данными:

- Существует большое количество способов избежать утечки конфиденциальной информации. Большинство банков предпочитает делать шифрование данных, особенно тех, которые хранятся на съемных носителях: оптические диски и ленты. Почему это не было сделано? Для повседневной работы сотрудников любые ИБ надстройки: это дополнительное ПО, дополнительные административные издержки, повышенные расходы на содержание, в целом это усложняет рабочий процесс.
Скорее всего, корень проблемы в том, что в данном случае ИТ стратегия не соответствовала требованиям бизнеса. Бизнес-риски не были адекватно отражены в ИТ-процедурах, и как следствие ИТ-менеджеры систем хранения убрали "ненужный" (или избыточный) по их мнению функционал, поставив простоту и доступность сервисов в более высокий приоритет своей работы.
Чтобы избежать подобных проблем с утерей конфиденциальный данных, нужно во-первых привести в порядок бизнес процессы во ВСЕХ подразделениях банка, а уже во-вторых разработать соответствующие административные регламенты (например запрет проноса и выноса носителей), внедрить ИТ процедуры и соответствующее ПО.
Также полезным функционалом является наличие системы мониторинга. Но судя по всему (поскольку преступника удалось обнаружить) эта часть ИТ инфраструктуры отработала хорошо.

Комментирует Олег Ерошин, начальник отдела систем информационной безопасности РДТЕХ:

- Данный инцидент в очередной раз показывает, что проблемы информационной безопасности не могут рассматриваться по остаточному принципу. Учитывая, что клиентские базы современных крупных банков содержат многие сотни тысяч и даже миллионы конфиденциальных документов, то любая утечка этой информации может существенно подорвать доверие к банку и нанести его бизнесу существенный урон. Необходимо также отметить, что, скорее всего, утечка данных произошла внутри банка — и это было связано не только с недобросовестными сотрудниками, но и с недостаточной защищенностью информационных ресурсов.
Здесь хотелось еще раз отметить, что защита информационных ресурсов является многогранной задачей, которую нельзя решить внедрением какого-то конкретного продукта, например, антивирусной защиты. Необходимо уделять внимание и контролю доступа, и процессам администрирования. Важное внимание должно быть уделено правильной настройке процессов протоколирования и сохранения это информации в защищенном месте, а также повышению ответственности сотрудников при работе с информационными ресурсами, созданию атмосферы сотрудничества служб безопасности и департаментов информационных технологий.

Комментирует Дмитрий Титков, ведущий менеджер по работе с финансовым сектором Check Point Software Technologies:

- Действительно, сейчас мы наблюдаем рост количества утечек данных в крупных финансовых организациях, которые приносят все больший денежный и репутационный урон для корпораций. Соответственно, растет и спрос на DLP-системы. Причем данный рост характерен не только для России, но и для всего мира. Так, например, аналитики Gartner ожидали, что к концу 2014 года мировой рынок DLP-систем прибавит 22-25% и достигнет 830 млн долларов. Конечно, большинство утечек осуществляется непреднамеренным путем (отправка бизнес-информации сотрудниками себе на почту для того, чтобы поработать дома, автоматическая синхронизация мобильных устройств с различными облачными сервисами, такими как Googledrive, iCloud, Dropbox и т. д.), но наибольший вред обычно наносят сознательные утечки, например, при смене места работы.
Все больше и больше утечек информации осуществляется сотрудниками сознательно по политическим или жизненным убеждениям. Это мы видим, например, в нашумевших делах WikiLeaks и разоблачений Сноудена. Скорее всего, в случае с HSBC мы имеем дело именно с подобного рода утечкой. Как отмечают те же Gartner, около 15% сотрудников используют конфиденциальные данные на собеседованиях для новых мест работы и около 40% из них соглашаются их использовать при переходе. Глобальное исследование Check Point Security Report 2014 отмечает, что 88% организаций во всем мире столкнулись как минимум с одним случаем потенциальной утечки данных, в то время как в 2012 году таких было только 53%.