Утечка данных может помешать автоматическому обмену?

1 октября в СМИ появилась информация об обнаружении в свободном доступе базы с персональными данными и налоговой информацией 20 миллионов россиян. По заявлениям британской компании Comparitech и независимого эксперта в области информационной безопасности Боба Дьяченко, который и обнаружил эту базу, она хранилась в свободном доступе на платформе Amazon Web Services. База была проиндексирована поисковыми системами в мае 2018 года, но была обнаружена только в середине сентября 2019. Обнаруживший базу эксперт обратился к её владельцу, находящемуся на Украине, и спустя три дня тот закрыл доступ к базе.

Основатель и технический директор компании Device Lock Ашот Оганесян считает, что база могла быть составлена в результате утечки данных из государственных органов, включая ФНС и ПФР, либо утечки данных личных кабинетов пользователей одного из порталов госуслуг. При этом он отмечает, что в последнее время прошла волна фальшивых требований по уплате налогов, которая совпала по времени с обнаружением этой базы. Это косвенно подтверждает факт обнаружения такой базы и получение доступа к ней злоумышленниками.

ФНС заявила, что данная новость является провокацией. Проверить достоверность данных из этой базы не представляется возможным поскольку доступ к ней закрыт. При этом формат и структура данных не соответствуют формату хранения в ФНС и содержат некоторые сведения, которые ФНС не собирает и не хранит. Такие сведения зачастую попадают в личный кабинет пользователя онлайн ресурсов, что указывает на правдоподобность предположения, что утечка была именно с одного из онлайн порталов. Однако, Ростелеком и ведомства, ответственные за деятельность таких порталов категорически отрицают утечки у себя и заявляют, что за всю историю их функционирования никаких инцидентов в сфере информационной безопасности у них не было.

Если вы не отзовётесь, мы напишем в Спортлото

Несмотря на заявления о провокации и непричастности ФНС к утечке, реакция ведомства оказалась очень острой. ФНС сразу же направила официальное письмо в ОЭСР с заявлением о провокации и о несоответствии формата и структуры данных формату ФНС. При этом ничего не известно о возможном обращении ФНС в правоохранительные органы с запросом на проведение проверки факта такой утечки, а также об инициировании каких-либо внутренних расследований. Такие действия в данной ситуации представляются логичными и приоритетными.

Обращение в ОЭСР связано с тем, что факт такой утечки ставит под сомнение возможность получения Россией данных о зарубежных счетах российских резидентов в рамках автоматического обмена информацией. Швейцария уже отказала в предоставлении данных в рамках автоматического обмена Кипру и Румынии из-за опасений по поводу способности этих стран обеспечить сохранность и конфиденциальность передаваемой информации. Факт утечки персональных данных и налоговой информации может повлечь за собой такое же решение Швейцарии в отношении передачи информации России. Кроме Швейцарии отказать в автоматическом обмене информацией могут и другие страны.

Великобритания уже исключила Россию из списка стран, с которой осуществляется автоматический обмен информацией. О причинах данного решения ничего не известно, однако это может быть связано с планирующимся выходом Великобритании из ЕС, после чего банковская система этой страны более не будет обязана подчиняться общеевропейским стандартам и может стать тихой гаванью для капиталов из разных стран. Обнаружение британской компанией утечки станет дополнительным основанием, подкрепляющим решение Великобритании о приостановлении автоматического обмена с Россией.

Совпадение? Не думаю!

Передача информации в рамках автоматического обмена происходит осенью текущего года за прошлый год. Время обнаружения базы и появление соответствующей информации в СМИ совпало со временем передачи данных по автоматическому обмену. При этом сама база находилась в свободном доступе более года. Такое совпадение по времени выглядит маловероятным. У российских налоговых органов фактически не остаётся времени, чтобы озвучить свою версию произошедшего и защитить свою позицию в глазах мировой общественности.

Письмо ФНС в ОЭСР – это попытка исправить положение в условиях ограниченного времени. Однако, быстрые действия зачастую не учитывают всех необходимых нюансов и влекут за собой не ожидавшиеся последствия. Обращение в международные организации, подкреплённое результатами внутренних проверок ФНС, а также контрольными мероприятиями правоохранительных органов, было бы весомым. При условии, что такие проверки подтвердили бы факт отсутствия таких утечек.

Ссылаясь на невозможность проверить утекшие данные и на то, что база содержит данные, которые ФНС не собирает и не хранит, российская сторона признаётся в своей беспомощности в сложившейся ситуации. Очевидно, что дополнительные данные собирает и хранит какая-то ещё структура, помимо ФНС. Наличие в базе персональных и налоговых данных указывает на то, что утечки могут происходить из разных источников. Это в свою очередь ещё больше ставит под сомнение способность российской стороны обеспечит сохранность, конфиденциальность и защиту данных, получаемых в рамках автоматического обмена информацией.

Произойдёт ли автоматический обмен информацией за 2018 год между Россией и другими странами в полном объёме, запланированном в рамках внедрения многостороннего соглашения и двухсторонних соглашений – покажет время. Однако, у стран, ценящих свою банковскую тайну и позиционирующих себя в качестве банковских центров, появились основания приостановить процесс автоматического обмена. Учитывая группы влияния, для которых автоматический обмен информацией может повлечь за собой проблемы, вполне вероятно, что и сама утечка, и её обнаружение были организованы из России, используя британских посредников для отвода глаз и создания ложного следа.