16.08.2006

Банковская тайна поступила в продажу. Мошенники продают базу данных 700 тысяч заемщиков



Как стало известно Ъ, вчера ряд бюро кредитных историй (БКИ) и банков получили по электронной почте предложение купить базу данных заемщиков, бравших кредиты на приобретение товаров в торговых сетях. Размер базы огромен для этого сектора банковских услуг – более 700 тыс. записей. Если предложение не фальсификация, оно нанесет серьезный удар по престижу банковского бизнеса, который традиционно строится на конфиденциальности информации. Однако специалисты из МВД подозревают анонимных продавцов не в воровстве, а в мошенничестве – по их словам, несмотря на все попытки, купить базу полностью оперативникам пока не удалось.


В распоряжении Ъ оказалась выборка из базы, сделанная с целью ознакомления потенциального покупателя с ее содержимым, датированная 7 апреля 2006 года. Каждая запись базы содержит ФИО заемщика, его адрес, название торговой сети, где была совершена покупка в кредит, сумма покупки, размер первоначального взноса, размер кредита, срок кредита, размер ежемесячного платежа, объем просрочки и сумма санкций. За всю базу, которая содержит более 700 тыс. записей, продавцы просят 90 тыс. руб., что не идет ни в какое сравнение с рыночной стоимостью кредитных историй – одна такая история в кредитном бюро стоит около $0,4.

Участники рынка предположили несколько потенциальных источников утечки информации. "Теоретически утечка могла произойти откуда угодно: из банков, бюро кредитных историй, торговых сетей, коллекторских агентств",– говорит зампред правления Инвестсбербанка Максим Чернущенко. Высказывались также версии о причастности к происшедшему Центрального каталога кредитных историй при Банке России. Однако подробный анализ позволяет отсечь большинство версий.

Высокопоставленный источник в Банке России сообщил Ъ, что не допускает утечки информации из Центрального каталога кредитных историй (ЦККИ): "Во-первых, к нам поступает не вся информация, в частности, там нет имен заемщиков. Кроме того, она кодируется, и в случае кражи воспользоваться ею нельзя". Тем не менее, по его словам, сам факт того, что информация о заемщиках стала предлагаться к продаже, крайне встревожила Банк России. "Мы обязательно инициируем проверки и у себя, и в банках, и в бюро кредитных историй",– пообещал представитель ЦБ.

Коллекторские агентства, по мнению участников рынка, попросту не располагают подобными объемами информации о заемщиках. К тому же, говорит господин Чернущенко, в них аккумулируются черные списки заемщиков, в то время как база содержит информацию и о добросовестных клиентах банков. Собрать информацию минимум по десятку крупных торговых сетей, которые могут обладать подобной информацией, по мнению экспертов, тоже крайне проблематично.

В ходе опроса подозрения с себя попытались снять и бюро кредитных историй. Как сообщил Ъ гендиректор бюро "Глобал Пэйментс Кредит Сервисиз" Олег Лагуткин, технологический уровень работы ведущих кредитных бюро слишком высок, чтобы допустить подобную утечку. А по словам гендиректора кредитного бюро "Экспириан-Интерфакс" Николая Димченко, рядовые сотрудники его бюро видят информацию в зашифрованном виде, а доступ к базе уполномоченных лиц возможен только в условиях жесткого контроля. Правда, ряд экспертов указывают на случаи, когда база данных хранится не на собственном сервере БКИ, а отдается на аутсорсинг.

БКИ поддержал и регулятор – Федеральная служба по финансовым рынкам. "То, что источником утечки информации не могли стать БКИ, очевидно по трем причинам,– говорит замначальника управления регулирования деятельности участников финансового рынка ФСФР Алексей Волков.– Формат кредитной истории жестко закреплен законодательно и не предусматривает включения в нее информации о торговой сети". Второй довод в пользу невиновности БКИ, по мнению господина Волкова,– на 7 апреля 2006 года даже общая база по заемщикам, накопленная всеми БКИ, не могла составлять более 700 тыс. записей, поскольку к этому моменту бюро успели проработать лишь месяц. Правда, участники рынка отмечают, что некоторые БКИ начали сотрудничать с банками еще до внесения бюро в госреестр БКИ в марте этого года и наиболее расторопные могли успеть накопить базу такого объема. Однако Алексей Волков отмечает, что "базы БКИ подлежат обязательной сертификации и переводятся на русский язык", а поля выставленной на продажу базы обозначены англоязычными наименованиями.

По мнению участников рынка, предлагаемая база скорее напоминает базу данных ритейловых бэк-офисных банковских программ. Таким образом, главное подозрение в разглашении конфиденциальной информации падает на банки, которых в торговых розничных сетях в России в массовом порядке работает не так много. Среди безоговорочных лидеров – банки "Русский стандарт" и "Хоум Кредит"; за ними идут Инвестсбербанк, Росбанк, Альфа-банк, банк "Ренессанс Капитал", Финансбанк, "Русфинанс". В "Русском стандарте" и "Хоум Кредит" не стали комментировать ситуацию.

Специалисты в сфере IT-безопасности сходятся во мнении, что утечка базы была бы невозможна без помощи служб IT-поддержки банков. Также происшедшее, по их мнению, можно объяснить халатностью топ-менеджмента банковских структур, имеющих доступ к конфиденциальной информации. "Обычно ни системные администраторы, ни даже служба безопасности – никто, кроме топ-менеджмента, не имеет полного доступа к подобной информации. Но, допустим, ломается у топ-менеджера ноутбук, IT-подразделение чинит его и параллельно устанавливает специализированный 'шпионский' софт",– говорит президент компании Leta, специализирующейся на информационной безопасности, Александр Чачава.

По его словам, "бюджет организации такого хищения мог составлять около $100 тыс.". "Такими 'проектами' занимаются некоторые структуры, активно рекламирующие себя через интернет",– считает он. Судя по результатам поиска в сети, телефон для связи с продавцом базы заемщика принадлежит анонимной компании, продающей на черном рынке налоговые, таможенные и прочие базы.

Высокую стоимость новой базы специалисты объясняют тем, что она, скорее всего, предназначена для профессиональных пользователей. "База может представлять интерес для тех компаний, которые занимаются прямыми продажами",– говорит генеральный директор агентства 4sformula Вячеслав Теменюк. Правда, и господин Теменюк, и его коллеги утверждают, что сейчас большинство ДМ-агентств отказываются от работы с ворованной информацией. А директор юридического департамента Бинбанка Екатерина Колесова, отмечает, что "теоретически заемщик может подать в суд на банк". "Но тогда ему надо доказать, что утечка была именно из банка, и обосновать ущерб",– поясняет она.

Сами банкиры, равно как и представители БКИ, надеются, что появившаяся в продаже база поддельная. В противном случае их репутационные риски будут очень серьезными. Особенно это касается кредитных бюро, которые только начали завоевывать доверие населения и чей бизнес предполагает полную конфиденциальность информации.

Версию с поддельной базой не исключают и в милиции, где тоже заинтересовались новинкой. В частной беседе с корреспондентом Ъ один из сотрудников управления по борьбе с преступлениями в сфере высоких технологий ГУВД Москвы сообщил, что им известно о новом предложении продавцов баз и оперативники ведут их активный поиск. Но, по их мнению, пока рано говорить о том, что база действительно была украдена. Ее пока так и не удалось купить целиком, поэтому в милиции не исключают, что "в данном случае речь может идти и о простом мошенничестве".

СВЕТЛАНА Ъ-ДЕМЕНТЬЕВА, АЛЕКСАНДР Ъ-ЖЕГЛОВ, ВАЛЕРИЙ Ъ-КОДАЧИГОВ, ЮЛИЯ Ъ-КУЛИКОВА, АЛЕКСАНДР Ъ-ПОТАПОВ



Крупнейшие скандалы с кражами баз данных

В 1992 году в Москве впервые появились компакт-диски с информацией о физических лицах–абонентах МГТС. Расследование результатов не дало, а диски с регулярными обновлениями продаются до сих пор.

В 1996 году в продаже появилась информация об абонентах сотового оператора "Вымпелком". Представители компании позднее заявили, что виновные были выявлены в результате служебного расследования и наказаны.

В ноябре 2002 года в Москве появился первый тираж дисков с данными об абонентах сети МТС, в январе 2003 года вышел второй тираж. СМИ выдвигали версию, что в утечке виновны сотрудники правоохранительных органов, которым компания предоставляла данные об абонентах. 21 января 2003 года пресс-секретарь МТС Ева Прокофьева опровергла эту версию и заявила, что проведенное компанией собственное расследование не установило источник утечки.

20 мая 2003 года стало известно, что в Санкт-Петербурге появились диски с информацией об абонентах сотовых компаний "МегаФон", "Телеком XXI", "Северо-Западный Телеком" и "Петерстар". В неофициальных беседах представители компаний указали, что утечка могла произойти через правоохранительные структуры. О расследовании не сообщалось.

В июле 2004 года служба безопасности "Вымпелкома" сообщила милиции о сайте sherlok.ru, предлагавшем информацию об абонентах "Билайна", "МегаФона" и МТС в Москве и Санкт-Петербурге. 26 ноября задержаны семеро подозреваемых, в числе которых трое сотрудников "Вымпелкома". В марте 2005 года Останкинский суд приговорил их к различным штрафам. Так, организатор группы оштрафован на 93 тыс. руб. Сайт функционирует до сих пор.

В феврале 2005 года в Москве появилась база данных банковских операций Центробанка в 2003-2004 годах. 6 апреля Госдума обратилась в Генпрокуратуру с запросом о проверке факта хищения информации, а 20 мая стало известно о выходе нового дополненного издания. 25 октября замначальника управления безопасности и защиты информации Московского управления ЦБ Владимир Бабкин заявил, что канал утечки перекрыт, но отказался назвать конкретных виновных.

8 ноября 2005 года появились в продаже данные о доходах в 2004 году 9,9 млн жителей Москвы и области. 16 ноября 2005 года ФСБ объявила о задержании лиц, причастных к хищению баз данных Центробанка РФ и ФНС. Имена подозреваемых, а также их дальнейшая судьба неизвестны.

ПЕТР Ъ-КРАСОВ



КоммерсантЪ