Информационное агентство РИА Новости со ссылкой на информацию кредитной организации сообщает о том, что Сбербанк проводит служебное расследование возможной утечки персональных данных.
Предположительно, базу «слил» один из сотрудников. Уточним, что внешнее проникновение в банке исключают. В пресс-службе организации заявили о том, что по данному факту начато служебное расследование. Об итогах служебного расследования пообещали известить дополнительно. По данным Сбербанка, о возможной утечке руководству банка стало известно накануне вечером.
Известно, что речь идет об учетных записях по кредитным картам как минимум 200 клиентов Сбербанка. Продавцы предлагают данные на 60 млн карт, как действующих (сейчас их 18 млн), так и уже закрытых. Информация по каждой стоит 5 рублей. В файле-«пробнике» содержатся сведения о 200 картах уральского филиала Сбербанка. Это информация о владельце, месте работы, сведения о самой карте и операциях.
Эксперты называют утечку самой крупной в российском банковском секторе. Как отмечается в пресс-релизе, клиенты банка могут быть спокойны – похищенная информация никак не угрожает сохранности их средств. Представитель Сбербанка заявил, что утечка данных через внешний взлом систем невозможна в принципе, так как все базы данных клиентов полностью изолированы от внешней сети. Если информация об утечке будет подтверждена, она могла быть возможной только в результате умышленных преступных действий одного из сотрудников банка.
В Роскомнадзоре обещают «в рамках своей компетенции» проверить информацию о возможном нарушении законодательства о персональных данных. В свою очередь эксперты считают, что база могла быть получена не в результате взлома или подкупа сотрудников, а в результате «выгрузки базы» человеком, имеющим к ней административный доступ. Такая выгрузка, по некоторым признакам, могла быть осуществлена в августе.
Напомним, что в июне 2019 года DeviceLock обнаружила в интернете базу с данными конкурирующих Альфа-банка, ОТП-банка, ХКФ-банка, в базе оказались сведения о 900 тыс. россиян. Проверками займутся в Роскомнадзоре, ЦБ и, вероятно, в правоохранительных органах. Если в базе найдут данные резидентов или граждан Евросоюза, банку,по закону о GDPR, придётся уведомить об утечке Еврокомиссию (с весны 2018 года,за небрежное отношение к пользовательским данным, утечки, нарушения регламентов обращения ПД европейцев — бизнес наказывается штрафом до €20 млн или изъятием до 4% годового оборота, европейские правила экстерриториальны).
История вопроса
01.09.2015 вступил в силу федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Документом установлена обязанность хранения на территории России персональных данных россиян, используемых интернет-серверами. Так, операторы должны при сборе персональных данных, в том числе посредством Интернета, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории нашей страны. Кроме того, россиянам предоставлено право в судебном порядке требовать удаления своих персональных данных, если они размещены в Интернете с нарушением законодательства.