Плохие люди, которые сливают персональные данные, не инопланетяне, а работают внутри банковской системы

Очень понравилась фраза о том, что "хранение данных граждан в банках безопаснее, чем в egov", что "в банках более профессиональный подход, более защищённые информационные системы". Очень мило, конечно, слышать такие высказывания, в то время когда прямо сейчас идёт уголовное расследование в отношении руководителя Первого кредитного бюро. Его, как известно из СМИ, обвиняют в даче взятки и предположительном участии в нелегальном доступе к данным из государственных систем.

Если бы всё так было, то, наверное, тогда и утечек данных не было, не было бы возбуждённых уголовных дел. А так, получается, что системы отлично работают, всё хорошо, просто это какие-то плохие люди занимаются сливом персональных данных.

Но если есть такие плохие люди, которые занимаются сливом, то это же не какие-то инопланетяне, и это же не какие-то люди, которые пришли и сделали какой-то несанкционированный доступ. Это люди, которые работают внутри этой банковской системы. Это люди, которые имеют доступ внутри. И получается, в самих системах никто не отслеживает процесс слива данных.

По данным Генеральной прокуратуры, за 2024 год 30 уголовных дел было заведено в отношении банковских работников и сотрудников телекоммуникационных операторов. Поэтому говорить о том, что данные, которые находятся в системах банков, надёжно защищены в сравнении с egov, это неправильно и несправедливо. То есть он как бы до конца все факты не раскрывает. Раз есть сливы, раз есть официально заведённые уголовные дела, то значит, такая проблема есть и она в системе. Это первое.

Второе. В законе об информатизации и постановлении правительства "Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности" прописаны сноски о том, что данные документы не распространяются на "отношения, возникающие при осуществлении Национальным банком и организациями, входящими в его структуру, работ по созданию или развитию, эксплуатации интернет-ресурсов, информационных систем, не интегрируемых с объектами информационно-коммуникационной инфраструктуры "электронного правительства", локальных сетей и сетей телекоммуникаций, а также проведении закупок товаров, работ и услуг в сфере информатизации".

То есть требования по информационной безопасности не распространяются на банковские суперапы. Они касаются только в части взаимодействия с egov, только в части интеграции для госуслуг, а всё остальное – нет. И вопрос, есть ли какие-то органы, которые занимаются мониторингом этих систем, их уязвимостей, кто-то контролирует этот процесс? Нет никакого внешнего контроля. Кто-то выставляет какие-то требования? И этого нет. Вот о чём вопрос.

Никто не отслеживает и не мониторит то, как банки отвечают на жалобы граждан в связи с рисками утечки данных и кибермошенничеств. Никто не знает, какие уязвимости есть и как они решаются, нет никаких обязательных требований. Лично я сама обращалась в несколько банков с жалобами на то, что мои данные известны третьим лицам, но никаких официальных ответов и разъяснений не получила.

Мнение автора может не совпадать с позицией редакции.