октября
Источник новостей о массовых утечках данных мог иметь коммерческий интерес, заявили «Известиям» в крупнейших кредитных организациях. Сообщения о компрометации персональных данных из их систем появились в прессе после того, как они отклонили предложение компании DeviceLock.
Так, в 2019 году СМИ сообщали о выставленных на продажу в DarkNet баз данных клиентов Сбербанка, ОТП Банка, Бинбанка, Альфа-Банка, Хоум Кредит Банка, Тинькофф Банка и Райффайзенбанка. Медиа ссылались на провайдера услуг кибербезопасности — компанию DeviceLock, обнаружившую соответствующие объявления от анонимных продавцов.
Как узнали «Известия», в июне 2018 года DeviceLock обращалась в Сбербанк с предложением своих услуг. Банк оферту отклонил. В Альфа-Банке заявили, что получали от DeviceLock предложение о закупке системы предотвращения утраты данных. Предложение DeviceLock не было принято, а через определенное время последовала публикация в прессе об этой утечке. То же произошло в «Открытии» и Тинькофф Банке. На вопрос «Известий» о достоверности публикаций СМИ об утечках в банках сообщили, что эта информация в результате проверок не подтвердилась.
Как заявил основатель DeviceLock Ашот Оганесян, оценивая размер утечки, компания ориентируется на данные, которые у нее есть, и никогда не заявляет о размере базы безапелляционно. По его словам, в банковском секторе, как показывает практика, масштаб утечек почти всегда больше, чем заявляют банки, так как после соответствующих сообщений ими зачастую не предпринимается никаких действий, кроме опровержений.
На вопрос, есть ли взаимосвязь между отказом банков от сотрудничества и сообщениями о продаже в DarkNet персональных данных, он ответил, что DeviceLock предлагает свой продукт абсолютно всем кредитным организациям и отслеживают все утечки, связанные с российским финансовым рынком.
«Заявления о связи публикации нами информации об утечках и якобы отказе от сотрудничества с нами — конечно же, ложь, не имеющая под собой никаких доказательств. Нам бы хотелось, чтобы авторы [таких обвинений] открыли свое лицо, но пока они почему-то прячутся за анонимностью. Появление новых утечек связано не с нашими усилиями, а с банальной некомпетентностью конкретных сотрудников банков, отвечающих за информационную безопасность», — заявил Оганесян.
Репутации банков публикацией сведений об утечках наносится существенный урон, однако правовых оснований для претензий к DeviceLock у них практически нет, уверены юристы. Если компания не информирует об утечках в утвердительной форме, ограничиваясь лишь сообщениями о продаже в DarkNet баз данных определенного массива, то она не делает ничего противозаконного. В случае если DeviceLock распространила заведомо недостоверную информацию об утечке данных 60 млн кредитных карт банка, к компании могут быть предъявлены требования, основанные на нарушении ею так называемого закона о фейковых новостях. Делать выводы о выставленной на продажу информации по небольшой выборке, оказавшейся в открытом доступе, некорректно.
