Как сообщает газета "Коммерсантъ", 15 августа ряд бюро кредитных историй (БКИ) и банков получили по электронной почте предложение купить базу данных заемщиков, бравших кредиты на приобретение товаров в торговых сетях.
Размер базы огромен для этого сектора банковских услуг - более 700 тыс. записей. В распоряжении издания оказалась выборка из базы, сделанная с целью ознакомления потенциального покупателя с ее содержимым, датированная 7 апреля 2006 года. Каждая запись базы, по информации "Коммерсанта", содержит ФИО заемщика, его адрес, название торговой сети, где была совершена покупка в кредит, сумма покупки, размер первоначального взноса, размер кредита, срок кредита, размер ежемесячного платежа, объем просрочки и сумма санкций. За всю базу, которая содержит более 700 тыс. записей, продавцы запросили 90 тыс. руб., что не идет ни в какое сравнение с рыночной стоимостью кредитных историй - одна такая история в кредитном бюро стоит около $0,4.
Участники рынка предположили несколько потенциальных источников утечки информации. "Теоретически утечка могла произойти откуда угодно: из банков, бюро кредитных историй, торговых сетей, коллекторских агентств", - сказал зампред правления Инвестсбербанка Максим Чернущенко. Высказывались также версии о причастности к происшедшему Центрального каталога кредитных историй при Банке России. Однако подробный анализ позволил изданию отсечь большинство версий.
Высокопоставленный источник в Банке России сообщил "Коммерсанту", что не допускает утечки информации из Центрального каталога кредитных историй (ЦККИ): "Во-первых, к нам поступает не вся информация, в частности, там нет имен заемщиков. Кроме того, она кодируется, и в случае кражи воспользоваться ею нельзя". Тем не менее, по его словам, сам факт того, что информация о заемщиках стала предлагаться к продаже, крайне встревожила Банк России. "Мы обязательно инициируем проверки и у себя, и в банках, и в бюро кредитных историй", - пообещал представитель ЦБ.
"Можно однозначно сказать, что утечка этой информации произошла не из центрального каталога кредитных историй, потому что ряда информации, которая в этой базе содержится, в кредитном бюро просто нет, - подтвердил "Маяку" президент Национального бюро кредитных историй Александр Клычков. - В частности, информация о торговой сети, где был получен кредит и так далее. Поэтому, скорее всего, это утечка либо из торговых сетей, либо из какого-то банка. Но мне кажется, что не будет составлять особого труда выяснить после детального анализа, из какого банка та информация, которая в этой базе содержится".
Коллекторские агентства, по мнению участников рынка, попросту не располагают подобными объемами информации о заемщиках. К тому же, как пояснил господин Чернущенко, в них аккумулируются черные списки заемщиков, в то время как база содержит информацию и о добросовестных клиентах банков. Собрать информацию минимум по десятку крупных торговых сетей, которые могут обладать подобной информацией, по мнению экспертов, тоже крайне проблематично.
В ходе опроса подозрения с себя попытались снять и бюро кредитных историй. Как сообщил "Коммерсанту" гендиректор бюро "Глобал Пэйментс Кредит Сервисиз" Олег Лагуткин, технологический уровень работы ведущих кредитных бюро слишком высок, чтобы допустить подобную утечку. А по словам гендиректора кредитного бюро "Экспириан-Интерфакс" Николая Димченко, рядовые сотрудники его бюро видят информацию в зашифрованном виде, а доступ к базе уполномоченных лиц возможен только в условиях жесткого контроля. Правда, ряд экспертов указывают на случаи, когда база данных хранится не на собственном сервере БКИ, а отдается на аутсорсинг.
БКИ поддержал и регулятор - Федеральная служба по финансовым рынкам. "То, что источником утечки информации не могли стать БКИ, очевидно по трем причинам, - говорит замначальника управления регулирования деятельности участников финансового рынка ФСФР Алексей Волков. - Формат кредитной истории жестко закреплен законодательно и не предусматривает включения в нее информации о торговой сети". Второй довод в пользу невиновности БКИ, по мнению господина Волкова, - на 7 апреля 2006 года даже общая база по заемщикам, накопленная всеми БКИ, не могла составлять более 700 тыс. записей, поскольку к этому моменту бюро успели проработать лишь месяц. Правда, участники рынка отмечают, что некоторые БКИ начали сотрудничать с банками еще до внесения бюро в госреестр БКИ в марте этого года и наиболее расторопные могли успеть накопить базу такого объема. Однако Алексей Волков отмечает, что "базы БКИ подлежат обязательной сертификации и переводятся на русский язык", а поля выставленной на продажу базы обозначены англоязычными наименованиями.
По мнению участников рынка, предлагаемая база скорее напоминает базу данных ритейловых бэк-офисных банковских программ. Таким образом, главное подозрение в разглашении конфиденциальной информации падает на банки, которых в торговых розничных сетях в России в массовом порядке работает не так много. Среди безоговорочных лидеров - банки "Русский стандарт" и "Хоум Кредит"; за ними идут Инвестсбербанк, Росбанк, Альфа-банк, банк "Ренессанс Капитал", Финансбанк, "Русфинанс". В "Русском стандарте" и "Хоум Кредит" не стали комментировать ситуацию.
Специалисты в сфере IT-безопасности сходятся во мнении, что утечка базы была бы невозможна без помощи служб IT-поддержки банков. Также происшедшее, по их мнению, можно объяснить халатностью топ-менеджмента банковских структур, имеющих доступ к конфиденциальной информации. "Обычно ни системные администраторы, ни даже служба безопасности - никто, кроме топ-менеджмента, не имеет полного доступа к подобной информации. Но, допустим, ломается у топ-менеджера ноутбук, IT-подразделение чинит его и параллельно устанавливает специализированный 'шпионский' софт", - говорит президент компании Leta, специализирующейся на информационной безопасности, Александр Чачава.
А по мнению начальника отдела экономической безопасности филиала "Уральский" ООО КБ "АГРОПРОМКРЕДИТ" Михаила Рощектаева, которое приводит ИА REGNUM, утечка базы данных могла быть сформирована благодаря хакерскому взлому. "Без наличия данной базы трудно определить - откуда именно произошла утечка. Но вообще, установить, как это произошло, не составит особого труда. По фамилиям заемщиков можно установить те кредитные учреждения, где эти заемщики значатся, и определить возможный способ утечки информации. Если данная информация была скопирована с нескольких банков, то возможен хакерский взлом. Я лично слабо себе представляю, что сразу несколько банков "продались" в одни руки", - пояснил свою точку зрения Рощектаев.
Между тем, как напоминает "Маяк", к базам кредитных историй подбираются не только мошенники. Упорно говорят о том, что налоговая служба хотела бы иметь доступ к этим базам. Президент Ассоциации российских банков Гарегин Тосунян заявил 15 августа, что подобные поползновения могут вообще отпугнуть граждан от декларирования своих кредитных историй.
Сами банкиры, равно как и представители БКИ, надеются, что появившаяся в продаже база поддельная. "Сейчас на рынке бродит множество баз, - пояснил "Газете.Ru" Гарегин Тосунян. - И, к сожалению, ими пользуются, не понимая, что это не очень хорошо сфабрикованные данные. Может быть, в одном -двух местах и была мизерная утечка, а затем к ней подмешали данные десятилетней давности и выдают за товар. Тут нужно разбираться, утекало ли вообще и что утекало".
В противном случае репутационные риски банкиров будут очень серьезными. Особенно это касается кредитных бюро, которые только начали завоевывать доверие населения и чей бизнес предполагает полную конфиденциальность информации.
"Я считаю, что никакой банковской тайны у нас нет, а стоит она определенных денег и в определенных местах, - уже сделал выводы председатель Совета директоров Группы компаний "Градиент Альфа" Павел Гагарин. - Этот случай лишний раз подтверждает, что информация - это товар, ради которого одни готовы идти на преступление, а другие - платить за приобретение незаконно добытой информации". "Пострадает вся банковская система", - сказал "Газете.Ru " руководитель национальной пресс-службы "Альфа-Банка" Дмитрий Скибицкий. - Люди, поверившие банкам, вновь станут бояться раскрывать личные данные при оформлении кредита. Значит, сократится рынок кредитования".
Версию с поддельной базой не исключают и в милиции, где тоже заинтересовались новинкой. В частной беседе с корреспондентом "Коммерсанта" один из сотрудников управления по борьбе с преступлениями в сфере высоких технологий ГУВД Москвы сообщил, что им известно о новом предложении продавцов баз и оперативники ведут их активный поиск. Но, по их мнению, пока рано говорить о том, что база действительно была украдена. Ее пока так и не удалось купить целиком, поэтому в милиции не исключают, что "в данном случае речь может идти и о простом мошенничестве".
Материал подготовлен интернет-редакцией www.rian.ru на основе информации Агентства РИА Новости и других источников