За первое полугодие число жалоб на МФО увеличилось на 30% по сравнению с аналогичным периодом прошлого года (отчет о работе с обращениями Банка России от 5 августа 2019 года). Если в 2018 году Банк России зафиксировал около 10 тыс. обращений, то в 2019 году – больше 14 тыс., часть из которых были поданы за разглашение персональных данных. Руководитель отдела аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отметил, что злоумышленники выбирают МФО в качестве объекта для атаки из-за отсутствия у них эффективных систем киберзащиты. Кроме этого, он считает, что на сегодняшний день более серьезную угрозу для МФО и их клиентов представляют собственные сотрудники. Эксперт объясняет это следующим образом:
менеджеры забывают защитить паролем базу персональных данных клиентов МФО, расположенную на сервере;;
уволившиеся сотрудники копируют имеющиеся сведения и используют их в личных целях, при отсутствии в МФО системы контроля передачи информации.
При этом, в случае выявления нарушений при работе с персональными данными клиентов, суд может обязать МФО выплатить компенсацию морального вреда. Так, гражданин обратился в суд с иском к МФО и бюро кредитных историй о признании договора займа незаключенным и взыскании компенсации морального вреда (решение Кировского районного суда города Омска от 27 сентября 2018 года по делу № 2-3459/2018). Согласно материалам дела истец получил уведомление о наличии задолженности по договору микрозайма в размере 18 тыс. руб., который им не заключался. В суде он пояснил, что паспортные данные в анкете на получение денежных средств совпадают, однако документы он не терял и сведения третьим лицам не передавал, соответственно, ответчики незаконным способом обрабатывали его персональные данные. В свою очередь представитель ответчика отметила, что источником получения персональных данных истца являлась поданная им заявка на получение займа. По ее словам, истец зарегистрировался на сайте МФО, заполнил анкетные данные и согласился с условиями договора займа путем ввода кода в личном кабинете организации, направленного истцу на его мобильный телефон.
Суд пришел к выводу, что отсутствие процедуры удаленной идентификации истца привело к незаконному использованию его персональных данных, в связи с чем были удовлетворены исковые требования истца о признании договора займа недействительным и взыскании морального вреда с МФО в размере 20 тыс. руб. При этом суду не удалось установить кто за гражданина оформил договор займа.
***
В связи с тем, что злоумышленников сложно идентифицировать для привлечения к уголовной ответственности директор по методологии и стандартизации компании "Позитив Текнолоджиз" Дмитрий Кузнецов в рамках кейс-форума, посвященного вопросам мошенничества в финансовой сфере, организатором которого выступила компания Business Summit of Future дал ряд советов руководителям и менеджерам кредитных организаций в целях защиты персональных данных клиентов. Им следует:
разработать нормативные требования, которые обеспечат оптимальный уровень защиты клиентов компаний, в том числе банков, и закрепить ответственность за невыполнение этих требований (например, внутренний регламент работы с персональными данными, порядок сообщения в службу безопасности о потенциальных угрозах);
предусмотреть технические средства защиты как для кредитных организаций, так и крупных компаний, которые позволят выявить попытки компрометации имеющейся базы данных клиентов;
осуществлять профилактику взломов со стороны злоумышленников (например, исключить взаимосвязь компьютеров между собой, чтобы не было возможности при получении доступа к одной машине открыть путь еще и к другим);
не использовать очень простые пароли на персональных компьютерах сотрудников и руководителей (например, "1234", "qwerty" и т.п.), периодически их менять.
Независимый эксперт Алексей Плешков добавил, что необходимо провести независимый аудит информационной безопасности в МФО для выявления основных уязвимостей и их устранения. Кроме того он порекомендовал гражданам по защите их персональных данных следующее:
не хранить фотографии паспорта или иных документов, с помощью которых можно идентифицировать владельца, а также иную конфиденциальную информацию в телефоне, электронной почте и мессенджерах);
уточнять у представителей организаций, куда передаются персональные данные, как по внутренним регламентам компании хранят, защищают и уничтожают полученные сведения, а также проверять, есть ли у организации положение о запрете передачи персональных данных третьим лицам (как в бумажном, так и в электронном виде);
удалить персональные данные из программ и приложений, имеющиеся на персональном компьютере и телефоне, которые потенциально могут быть использованы злоумышленниками (например, данные банковской карты).