Журналистка Татьяна Исакова в издании «Коммерсантъ» пишет:
«Новый год начался с громкого объявления о крупной утечке финансовых данных: 8 января проукраинская группировка Kiborg совместно с NLB (Nice Leak Bro, русскоязычные хактивисты) заявили о публикации якобы украденных еще в октябре данных клиентов Альфа-банка, утверждая, что речь идет о 38 млн человек <…>.
Представители банка утечку и тогда, и сейчас назвали “фейком” и “компиляцией данных из открытых источников”. Несмотря на несоответствие числа клиентов, разобраться, кто прав, хакеры или банк, непросто. <…>.
Похожая история в 2023 году произошла с утечкой у МТС-банка, ответственность за которую также взяла NLB. В компании тогда не подтверждали утечку “банковской тайны и иных чувствительных данных клиентов”. Но в октябре Роскомнадзор подтвердил факт инцидента.
В целом, пока средние штрафы за утечки данных граждан не превышают 60 тыс. руб., компаниям проще отмолчаться или сразу опровергнуть инцидент, ссылаясь на старые данные. Но с введением внушительных штрафов — до 500 млн руб., которые сейчас рассматривает Госдума в рамках соответствующего законопроекта, ситуация может измениться, предупреждают специалисты в области информбезопасности.
Причем дело не только в прямых финансовых последствиях крупных штрафов. Мои собеседники говорят о риске шантажа со стороны злоумышленников, которые могут скомпилировать данные из прошлых утечек и пригрозить выдать их за результат нового инцидента. При высоком уровне штрафов откупиться может быть выгоднее, чем разбираться с регуляторами.
Между тем законопроект, вводящий оборотные штрафы за утечки данных, риска подделки утечек не оговаривает. Глава профильного комитета Госдумы Александр Хинштейн подтвердил, что этот аспект не поднимался в ходе работы над законопроектом, рассмотрение которого запланировано на весеннюю сессию.
Поэтому, признают участники рынка кибербезопасности, компаниям придется самим вырабатывать методы оперативного расследования инцидентов и “их грамотного опровержения”. Например, публично и оперативно проводить проверку данных в слитых базах, будь то ФИО клиентов или номера карт, которые в каждом банке имеют уникальные комбинации цифр, так что выдать ее за карту якобы жертвы уже не удастся».