Банки России включаются в борьбу против утечки данных о клиентах на законодательном уровне, за ужесточения наказаний за киберпреступления.
В России доля «сливов данных» по вине работников вдвое выше, чем в мире, — более 72%. Финансовый сектор занимает второе место по частоте краж данных, на него приходится 18,9% таких инцидентов.Осенью 2019 года ЦБ впервые раскрыл масштаб продаж персональных данных россиян: в первой половине прошлого года специалисты обнаружили 13 тыс. подобных объявлений, только 1,5 тыс. из них оказались базами банков.Самым популярным видом мошенничества по-прежнему считается социальная инженерия.
В первой половине 2020 года зафиксировано 374 случая незаконного доступа банковских работников к информации о счетах клиентов, следует из статистики ЦБ. Ущерб от действий менеджеров оценивался в 7,4 млн руб.
В ближайшее время, панируется подготовить поправки в Уголовный кодекс, ужесточить наказание за незаконный доступ и разглашение сведений, представляющих собой банковскую тайну.
Предложено лишать свободы за неправомерный доступ к банковской тайне на срок до 10−20 лет, но предельный срок наказания ещё обсуждается, рассказал вице-президент АБР Алексей Войлуков.
«Действующее наказание несоразмерно с ущербом, который оно-разглашение влечёт».
Изменения хотят внести в ст. 183 Уголовного кодекса, которая предусматривает наказание за незаконное получение и разглашение информации, составляющей коммерческую, налоговую или банковскую тайну.«Необходимо отделить понятие “банковская тайна” от других тайн, так как получение именно этой информации носит массовый характер! Сейчас, в русскоязычной части даркнета (теневого сегмента интернета) зарегистрированы почти 2 млн. покупателей, желающие получить доступ к банковской тайне», — говорит Войлуков.
Также, прописать в УК РФ определения для «неправомерного доступа» и «незаконного сбора» банковских данных.
Сейчас, УК РФ, наказание за кражу данных предусматривает даже за сбор информации без дальнейшего разглашения, если она содержит коммерческую, налоговую или банковскую тайну. Незаконными считаются кража документов, получение данных с помощью подкупа или угроз. Минимальное наказание по этой части статьи — штраф до 500 тыс. руб. или равный годовому доходу осужденного. Максимальное — лишение свободы до 2 лет.
Если гражданин имел доступ к подобным сведениям на работе и решил использовать их, либо раскрыть, ему грозит штраф до 1 млн руб., запрет занимать определенные должности на срок до 3 лет, исправительные или принудительные работы, либо лишение свободы до 3 лет. Если в действиях такого сотрудника суд увидит «корыстную заинтересованность», то наказание может быть увеличен до 5 лет заключения. Максимальное наказание по этой статье — семь лет лишения свободы — применяют для тех, чьи действия по разглашению коммерческой, налоговой или банковской тайны имели «тяжкие последствия».
При этом, уголовное преследование по ст. 183 УК РФ — редкость, ежегодно заводят около 100 дел и лишь единицы доходят до суда, как отмечают юристы. В основном, это сотрудники банков, которые либо предоставляли сведения о клиенте-юрлице его конкурентам, либо продавали базы данных клиентов-физлиц. Чаще всего обвиняемые по этой статье отделываются штрафами, поскольку большинство преступлений относят к категории небольшой и средней тяжести.
Если учитывать не только продажу клиентских баз, но и так называемый «пробив информации» (получение данных о конкретном клиенте), то «сливы» происходят практически непрерывно, говорит основатель сервиса разведки утечек данных DLBI Ашот Оганесян. По мнению эксперта, риск длительного тюремного заключения просто поднимет цены на подобные услуги.«Сейчас основным методом ловли торговцев данными является контрольная закупка.
В сети правоохранительных органов в результате попадаются только единичные — самые глупые — продавцы. В случае организованной группы задержание посредника не прерывает её работу, а без остальных участников довести даже его до суда крайне сложно», — говорит Оганесян.
Предложения банков он считает попыткой переложить ответственность за кражу данных на рядовых сотрудников. «Для улучшения ситуации нужно повышать ответственность юридических лиц, что подвигнет их на инвестиции в системы защиты», — подчеркивает эксперт.