Черный список увидел белый свет. Часть 2

Даты записей периодом с 26 июня 2017 года по 6 декабря 2017 года. Именно с 26 июня 2017 года Банк России начал рассылать черный список клиентов в соответствии с положением 550-П. Конструкция рассылки представляет собой то ,что банки вычисляют клиентов, которым они отказывают в обслуживании из-за подозрений в нарушении 115-ФЗ, передают информацию о таких клиентах в ЦБ, а тот, в свою очередь,— Росфинмониторингу. Последний обрабатывает полученные от банков данные, передает их обратно в ЦБ, а ЦБ в агрегированном виде — банкам. Затем все банки получают новый список подозрительных клиентов, который сформировал всеь сектор. База с утечкой информации начала распространяться несколько месяцев назад, но, об утечке до вчерашнего дня не знали ни в ЦБ, ни в Росфинмониторинге.

В Росфинмониторинге отметили, что исключают возможность утечки информации от них. В пресс-службе Банка России на запрос “Ъ” ответили, что регулятор доводит информацию об отказниках до участников рынка в зашифрованном виде по защищенным каналам связи с использованием сертифицированных средств криптографической защиты информации. «Ответственность за сохранность информации и не передачу ее третьим лицам несет финансовая организация, которая ее получила»,— считают в ЦБ. К сожалению ,не уточнили, планирует ли регулятор предпринять действия, исключающие подобные утечки в будущем.

Утечка могла произойти множеством способов, указывают эксперты. «Из ЦБ, Росфинмониторинга, любого банка»,— поясняет гендиректор разработчика систем защиты информации Zecurion Алексей Раевский. По его мнению, база должна была быть только у ЦБ, а банки — направлять ему запросы для проверки клиентов. «В таком варианте, по крайней мере, было бы проще локализовать утечку, понять, где она произошла. Сейчас это, вероятно, невозможно сделать»,— добавляет эксперт. Таким образом, по мнению эксперта, ошибка с точки зрения информационной безопасности была допущена при проектировании системы.