История с появлением на рынке базы персональных данных клиентов «Сбербанка», вполне вероятно, будет иметь продолжение. Очень хорошо, что банк сразу приступил к проверке информации «Коммерсанта» и выявил виновника утечки. Но сам факт, что некий начальник сектора имеет технологические возможности скачивать персональные данные клиентов и отправлять их на «чёрный рынок», для одного из самых продвинутых с точки зрения безопасности кредитного института нашей страны, выглядит совершенно нелепым.
Рискну предположить, что банку просто нужно было быстро отчитаться об успехах в расследовании. Скорее всего расследование находится на начальном этапе, и мы, вполне возможно, вскоре услышим о новых разоблаченных сотрудниках. Но главное здесь — даже не столько поимка виновников, сколько выявлении организационных и технических уязвимостей в хранении персональных данных держателей банковских карт. И здесь, я надеюсь, «Сбербанк» будет ориентироваться не на то, чтобы быстро отчитаться, а на всесторонний анализ очевидного прокола системы безопасности, а также на последовательное нивелирование проблемы.
Косвенным признаком того, что расследование не закончено может служить то, что банк не заявляет о том, что утечка ограничена только двумястами клиентами. 200 и 60 миллионов — это совсем разные цифры. И если бы у менеджмента банка была уверенность, что счет может идти на сотни и тысячи, а не на миллионы данных, то, скорее всего, банк потребовал бы от издания дезавуировать эту цифру.
Не думаю, что произошедшее сколько-нибудь серьезно отразится на динамике котировок акций «Сбербанка». Конечно, банку нанесен репутационный ущерб. Но, во-первых, банку скорее всего удастся предотвратить появление материального ущерба для своих клиентов, что не даст возможностей подачи коллективных исков. А, во-вторых, прокол служб безопасности «Сбербанка» не добавляет лишних очков его конкурентам, которые также вынуждены внимательно проверять собственные системы безопасности.
Опять же допускаю, что по результатам анализа данного кейса Банк России ужесточит требования к системам хранения персональных данных, что в результате несколько повысит издержки всех банков.
Самым неожиданным и уникальным в кейсе «Сбербанка», безусловно, является признание проблемы утечки на уровне CEO компании. Это пример корпоративного совершенствования российских компаний. Это новая степень открытости, которая по-хорошему воодушевляет!
Сафиулин Марат
Федеральный фонд по защите прав
вкладчиков и акционеров