Данные 120 000 граждан и компаний из антиотмывочного «черного списка» ЦБ попали в интернет, узнал «Коммерсантъ». Это первая утечка данных такого рода, но ее обстоятельства заставляют удивляться, что это случилось только сейчас.

Что произошло. В интернете появилась база данных о 120 000 клиентов, которым банки отказали в обслуживании по антиотмывочному закону (115-ФЗ), на который чаще всего жалуются предприниматели.

• В базе данных в основном физлица и ИП, но есть и юрлица. У физлиц раскрыты паспортные данные, у ИП — имя и ИНН, у юрлиц — наименование, ИНН и ОГРН. Данные реальные, утверждает газета.
• «Черный список» охватывает полгода с 26 июня 2017 года. Именно с этой даты ЦБ рассылает его банкам.
• Это первая утечка данных о клиентах банков, имеющая отношение к ЦБ.
• База утекла несколько месяцев назад, но ЦБ узнал об этом только накануне.

Обстоятельства. Источник утечки неизвестен, но это может быть ЦБ, Росфинмониторинг или банки. Дело в сложной схеме составления «черного списка»: данные о проблемных клиентах банки пересылают ЦБ, тот — Росфинмониторингу на обработку, затем они попадают обратно в ЦБ, а уже регулятор переправляет их банкам в консолидированном виде. И ЦБ, и Росфинмониторинг утверждают, что утечка у них невозможна. ЦБ считает, что проблема на стороне банков.

Об этом говорят. Просчет допущен при проектировании «черного списка»: рассылка всей базы — по умолчанию небезопасный подход, говорит гендиректор разработчика систем защиты информации Zecurion Алексей Раевский. Базу должен контролировать только ЦБ, а банки — направлять ему запросы для проверки клиентов. «В таком варианте, по крайней мере, было бы проще локализовать утечку, понять, где она произошла. Сейчас это, вероятно, невозможно сделать», — считает эксперт.

Риски. Утечка «черных списков» — еще одна проблема для бизнеса: нет сомнений, что на рынке появится услуга типа «пробить по базе данных ЦБ». Распространение таких сведений повлечет для людей из списка не только сложности с банковским обслуживанием, но и проблемы при устройстве на работу, отказы контрагентов от заключения договоров и иные риски. Непонятно, что делать добросовестным клиентам, попавшим в списки по ошибке.

• Кроме того, подобная информация склонна всплывать в самых неожиданных местах: достаточно вспомнить, что настоящие имена «Петрова и Боширова» были раскрыты с помощью базы данных МВД.
• В контексте утечки опасения начинают вызывать и прочие «черные» и «серые» списки ЦБ.

Почему это важно. Попадание в «черные списки» – одна из самых страшных угроз для российского бизнеса. Страшнее может быть только публичный доступ к этим данным, и, к несчастью, это уже произошло.