Кибервойна

«Альфа-банк» получил (и обжаловал) штраф за утечку персданных

В конце мая в отношении «Альфа-банка» было рассмотрено дело по ч. 1 ст. 13.11 КоАП об утечке персональных данных. Был назначен административный штраф в 60 тысяч рублей. Как следует из постановления, дело касается предположительного слива базы данных клиентов проукраинской хакерской группой — очевидно, имеется в виду январская публикация группировки KibOrg, после которой Роскомнадзор заявил о проверке.

Напоминаю, что впервые часть данных (1 млн строк), якобы украденных у «Альфа-банка», проукраинская группировка KibOrg опубликовала ещё в октябре, а в январе выложила полную базу — файл на 110 ГБ с информацией о 38 млн клиентов. Файл содержал идентификационный номер клиента, ФИО, дату рождения, контакт (email или телефон), номер карты и срок действия.

«Альфа-банк» и в октября, и в январе опровергал сообщения об утечке, объясняя появление данных в открытом доступе тем, что «cведения скомпилированы из разных источников, где люди оставляют данные про себя». Тем не менее некоторые клиенты находили свои данные в базе.

Так или иначе, резонанс был достаточный, чтобы привлечь внимание Роскомнадзора. В конце февраля ведомство провело в банке внеплановая выездная проверку. Специалисты Роскомнадзора сравнили данные из слитой базы с данными в информационной системе «Альфа-банка» Smart Vista. Сопоставление проводилась по данным 11 клиентов. Так Роскомнадзор пришёл к выводу, что банк нарушил требования в части предоставления неправомерного доступа к системе, содержащей персданные, что повлекло их утечку. Помимо результатов проверки к материалам дела приложены уведомления «Альфа-банка» от 10 и 12 января, а также письмо (очевидно, от Роскомнадзора) о предоставлении информации от 23 октября 2023 года (после первой публикации KibOrg).

«Альфа-банк» просил дело прекратить и предоставил в качестве обоснования письменные пояснения. Вот в несколько сокращённом виде аргументы защиты:

— персданные защищены: «Доступ к номерам карт клиентов банка предоставляется по заявкам, ограничен конечному числу работников Банка и организован с применением организационных и технических мер, исключающих несанкционированный доступ к конфиденциальной информации»;
— вывод об утечке строится только на основании проверки системы Smart Vista: «сопоставление информации о перечисленных в обжалуемом предписании персональных данных субъектов из числа клиентов банка с персональными данными физических лиц, находящихся в опубликованной проукраинской хакерской группировкой базе данных, не может свидетельствовать о факте утечки данных непосредственно из информационной системы «Smart Vista», является субъективным, необоснованным суждением, т.к. не опирается на результаты анализа ситуации и проведенного расследования инцидента кибербезопасности»;
— в ходе внутреннего расследования утечки не обнаружено: «Банком проведено внутреннее расследование [...], по результатам которого факт утечки персональных данных клиентов на стороне и по вине банка подтверждение не нашел»;
— в слитой базе нет критичных данных: «В опубликованном злоумышленниками файле нет критичной платежной информации, которую можно было бы использовать в целях хищения денежных средств со счетов клиентов, например, кодов безопасности CW2/CVC2/CVP» (но есть данные по номерам, срокам действия карт);
— данные скомпилированы из других утечек: «Банк полагает, что данные о гражданах могли быть взяты/скомпилированы из множества старых утечек, произошедших в различных организациях и государственных органах».

Аргументы защиты не убедили судью, и «Альфа-банку» был назначен штраф в 60 тысяч. Но представители банка подали на это решение жалобу. Я не видел успешных случаев обжалования — либо они не публикуются, либо организациям всё-таки приходится платить штраф.

В 2022-2023 годах только по Москве было более 90 административных дел по утечкам, вызванным хакерскими атаками. Подробнее узнать о них и о том, какие оправдания редко, но работают в суде, можно из моего выступления на PHDays «Отрицание, оправдание, штраф».

www.group-telegram.com/jp/cyberguerre.com/2122

1.7K viewsJun 24 at 11:31

«Альфа-банк» получил (и обжаловал) штраф за утечку персданных

В конце мая в отношении «Альфа-банка» было рассмотрено дело по ч. 1 ст. 13.11 КоАП об утечке персональных данных. Был назначен административный штраф в 60 тысяч рублей. Как следует из постановления, дело касается предположительного слива базы данных клиентов проукраинской хакерской группой — очевидно, имеется в виду январская публикация группировки KibOrg, после которой Роскомнадзор заявил о проверке.

Напоминаю, что впервые часть данных (1 млн строк), якобы украденных у «Альфа-банка», проукраинская группировка KibOrg опубликовала ещё в октябре, а в январе выложила полную базу — файл на 110 ГБ с информацией о 38 млн клиентов. Файл содержал идентификационный номер клиента, ФИО, дату рождения, контакт (email или телефон), номер карты и срок действия.

«Альфа-банк» и в октября, и в январе опровергал сообщения об утечке, объясняя появление данных в открытом доступе тем, что «cведения скомпилированы из разных источников, где люди оставляют данные про себя». Тем не менее некоторые клиенты находили свои данные в базе.

Так или иначе, резонанс был достаточный, чтобы привлечь внимание Роскомнадзора. В конце февраля ведомство провело в банке внеплановая выездная проверку. Специалисты Роскомнадзора сравнили данные из слитой базы с данными в информационной системе «Альфа-банка» Smart Vista. Сопоставление проводилась по данным 11 клиентов. Так Роскомнадзор пришёл к выводу, что банк нарушил требования в части предоставления неправомерного доступа к системе, содержащей персданные, что повлекло их утечку. Помимо результатов проверки к материалам дела приложены уведомления «Альфа-банка» от 10 и 12 января, а также письмо (очевидно, от Роскомнадзора) о предоставлении информации от 23 октября 2023 года (после первой публикации KibOrg).

«Альфа-банк» просил дело прекратить и предоставил в качестве обоснования письменные пояснения. Вот в несколько сокращённом виде аргументы защиты:

— персданные защищены: «Доступ к номерам карт клиентов банка предоставляется по заявкам, ограничен конечному числу работников Банка и организован с применением организационных и технических мер, исключающих несанкционированный доступ к конфиденциальной информации»;
— вывод об утечке строится только на основании проверки системы Smart Vista: «сопоставление информации о перечисленных в обжалуемом предписании персональных данных субъектов из числа клиентов банка с персональными данными физических лиц, находящихся в опубликованной проукраинской хакерской группировкой базе данных, не может свидетельствовать о факте утечки данных непосредственно из информационной системы «Smart Vista», является субъективным, необоснованным суждением, т.к. не опирается на результаты анализа ситуации и проведенного расследования инцидента кибербезопасности»;
— в ходе внутреннего расследования утечки не обнаружено: «Банком проведено внутреннее расследование [...], по результатам которого факт утечки персональных данных клиентов на стороне и по вине банка подтверждение не нашел»;
— в слитой базе нет критичных данных: «В опубликованном злоумышленниками файле нет критичной платежной информации, которую можно было бы использовать в целях хищения денежных средств со счетов клиентов, например, кодов безопасности CW2/CVC2/CVP» (но есть данные по номерам, срокам действия карт);
— данные скомпилированы из других утечек: «Банк полагает, что данные о гражданах могли быть взяты/скомпилированы из множества старых утечек, произошедших в различных организациях и государственных органах».

Аргументы защиты не убедили судью, и «Альфа-банку» был назначен штраф в 60 тысяч. Но представители банка подали на это решение жалобу. Я не видел успешных случаев обжалования — либо они не публикуются, либо организациям всё-таки приходится платить штраф.

В 2022-2023 годах только по Москве было более 90 административных дел по утечкам, вызванным хакерскими атаками. Подробнее узнать о них и о том, какие оправдания редко, но работают в суде, можно из моего выступления на PHDays «Отрицание, оправдание, штраф».

BY Кибервойна