В Украине массово крадут базы банков и реестров
Вместе с развитием IT-индустрии учащаются случаи мошенничества с электронными базами компаний и госреестрами.
В конце 2015 года с журналисткой Эвелиной из Киева произошла неприятная история. Ей чудом удалось забрать депозитный вклад бабушки из банка, пишут Андрей Свирид и Елена Романюк в №10 журнала Корреспондент от 18 марта 2016 года.
«Всё началось в 2013 году, когда моя уже очень пожилая бабушка открыла депозитный счёт в одном из отделений Приватбанка в Днепропетровске, — рассказывает девушка. — Будучи человеком осмотрительным, она сразу же оформила доверенность на право распоряжаться счётом на меня. Доверенность была в надлежащем порядке оформлена сотрудником отделения. Я, в свою очередь, предоставила в Приватбанк копию паспорта, ИНН, сфотографировалась — в общем, была внесена в базу данных, согласно требованиям. Это решение, как показали дальнейшие события, было правильным — не прошло и года, как в результате травмы бабушка стала инвалидом и перестала выходить на улицу».
Пару лет всё было тихо — депозитный договор продлевался, проценты исправно начислялись, сотрудники учреждения узнавали внучку и любезно выдавали распечатки счёта.
Однако в 2015 году во время очередного визита сотрудница отделения, где был открыт депозит, неожиданно заявила, что в базе данных Привата Эвелины нет. Более того, доверенным лицом бабушкиного депозита, согласно электронной базе данных банка, является другой гражданин, чьё имя внучке назвать отказались.
Но самое главное — ей отказались сообщить информацию о состоянии счёта, несмотря на то, что девушка предъявила оригинал депозитного договора с мокрыми печатями и подписями, где, в том числе, доверенным лицом значилась именно она.
«Ответом на моё возмущение было предложение обратиться в милицию. Альтернативой мог стать приход владельца счёта (бабушки) в банковское отделение или же предоставление новой доверенности, заверенной нотариально. К тому же, сотрудница сообщила мне, что в её глазах мои бумажные оригиналы документов являются ничтожными, а она принимает решения, исключительно исходя из информации электронной базы данных», — вспоминает Эвелина.
В итоге, бабушка таки вынуждена была прийти в отделение, и её появление вынудило оператора назвать новое доверенное лицо, которое никому из заинтересованных сторон знакомо не было. К счастью, сам депозит оказался нетронутым.
Сотрудница банка тут же предложила переоформить доверенность «по новой», правда, оговорившись, что вся информация о «неизвестном» доверенном лице в результате такого переоформления будет уничтожена.
Она также просила не разрывать договор, аргументируя это тем, что, скорее всего, произошла ошибка на программном уровне — база данных случайно (!) «подсосала» ошибочную информацию.
Сотрудник пресс-службы Приватбанка Олег Серга сообщил Корреспонденту, что в случае, если информация в оригинале депозитного договора отличается от содержащейся в компьютерной базе данных учреждения, для выяснения, какие данные считать достоверными, подключаются службы головного банка.
«Они используют дополнительные каналы проверки, например банковский экземпляр договора», — поясняет Серга. Он заверяет: если клиент обнаружил подозрительные операции по своему депозиту и стало понятно, что здесь замешан сотрудник банка, финучреждение немедленно инициирует внутреннее, а возможно, и уголовное расследование.
Беспорядочный сектор
В то же время юристы утверждают, что, несмотря на внедрение в стране электронного документооборота, «базис» отношений клиента и банка всё равно основывается на документах в письменной форме на материальных носителях.
Инструкция о порядке открытия, использования и закрытия счетов в национальной и иностранной валюте (постановление НБУ № 492), предусматривает и письменный договор вклада, и верификацию клиента, и его личное присутствие, и, собственно, способ составления доверенности на распоряжение счётом (нотариальное или сотрудником банка в присутствии владельца счёта).
«Соответственно, распоряжение счётом, в том числе и выплата денег с него, осуществляется с верификацией лица, требующего провести такую операцию — проверяется его подпись, наличие прав распоряжения счётом и т. д. В отдельных случаях допускается использование электронных способов верификации, но это лишь дублирующий способ — основным остаётся письменный», — подчёркивает вице-президент адвокатской фирмы Грамацкий и партнёры Юрий Забияка.
Иными словами, как поясняет юрист ЮФ Анте Юрий Векленко, доверенному лицу не имели права отказать в распоряжении депозитным счётом. Это подтверждается и законодательством, и судебной практикой.
В качестве примера юрист привёл случай, когда вкладчица попыталась снять деньги с депозита, но банк сообщил ей, что её договор не обслуживается, а средства уже были сняты ранее. Верховный Суд Украины указал, что наличие сберегательной книжки (сертификата) или другого документа является подтверждением о внесении денег в соответствующую платёжную систему. Банк же не исполнил свои обязательства по договору и должен компенсировать средства.
Юристы не скрывают, что мошенничество в финансовых учреждениях — не редкость. По словам Забияки, часто имеют место такие факты мошенничества, как использование поддельных паспортов, доверенностей и другие «материальные» виды манипуляций. Но вот внесение неправдивых сведений в базу данных сотрудником банка встречаются редко.
А Глеб Пахаренко, эксперт по кибернетической безопасности, директор киевского отделения ISACA (всемирная организация по разработке методологий и стандартов в сферах управления, аудита и безопасности информационных технологий) утверждает, что в банках как раз «полный беспорядок» в ІТ, поэтому «сбоев», а также фактов мошенничества именно с электронными базами достаточно.
«Украинские банки — это отдельный момент. В некоторых даже есть самописные ОДБ [операционный день банка (ABS) — центральный компонент автоматизированной банковской системы, который предназначен для ведения операционного дня, учёта клиентов, операций и составления отчетности], чтобы делать бухгалтерские проводки задним числом. В банках наблюдается большое количество мошенничеств с привлечением разного уровня сотрудников», — говорит специалист.
Пахаренко с грустью отмечает, что и банки, и другие коммерческие учреждения ведут борьбу с мошенничеством, только если оно несёт им существенные прямые убытки. Если же затрагиваются интересы клиентов, на это мало кто обращает внимание.
«Вообще, в банках есть отделы антифрода, но они ведут борьбу больше с мошенничеством со стороны клиентов (невозврат кредитов и пр.) или, в лучшем случае, со стороны операционистов и кассиров. Все остальные виды мошенничества, в которые вовлечены руководители банков и которые направлены против клиентов и государства, обычно не блокируются», — говорит эксперт.
Надуть всех
Но не только в банках цветёт электронное мошенничество.
«В каждом бизнесе, где есть автоматизированный процесс, где есть контроль, встроенный в этот процесс, их можно попробовать обойти. Я не знаю ни одной системы в ведущих компаниях, в которой действительно невозможны модификации информации вопреки законодательству, если на это будет прямое указание руководства. Ведь компании не предоставляют клиентам интерфейса, чтобы каждый желающий мог проверить целостность данных, мониторить их», — говорит Пахаренко.
Но особенно больших объёмов, по словам специалистов, мошенничество достигло в государственных органах. И причин такого состояния множество.
Во-первых, процесс внедрения электронного документооборота в госорганах идёт децентрализовано. Нет единого для всех подхода. Во-вторых, системы документооборота могут быть несовместимы между собой: кто-то использует Microsoft Office, а кто-то бесплатную версию под Linux. Файлы плохо читаются, хотя производители декларируют совместимость. В-третьих, госорганы не в состоянии обеспечить безопасность своих систем. Пока это очень дорого. Как результат — ІТ-системам по-прежнему не доверяют. Существует высокая вероятность подделки подписи, если ключ сохраняется ненадёжно.
Да и сама практика не позволяет людям верить электронным системам госорганов. Достаточно, например, вспомнить экзамены в ГАИ. «Когда я получала права, я три раза самостоятельно пыталась сдать тест. Писала, приходила домой проверяла. Видела, что заполнила всё правильно, а результат всё равно не засчитывали. После третьего раза нервы сдали. Я заплатила, и сразу всё сдала без ошибок», — вспоминает горький опыт владелица интренет-магазина Елизавета.
«Госорганы могут обходить контроли, встроенные в IТ-системы. Например, система ставит плохие отметки на экзамене и распечатывает ведомость, что кто-то не сдал экзамен на какую-то должность. Далее комиссия принимает эту ведомость, от руки заполняет пустой бланк и вносит туда те отметки, которые захочет. Никто не проверяет систему. Системный администратор может затем затереть журналы или вообще что-то дописать в систему, чтобы она сразу ставила хорошие отметки тем, кому нужно», — подтверждает Пахаренко.
Имеет место мошенничество и при работе с госреестрами. Речь идёт, в основном, о реестре нотариальных действий (выдачи доверенностей, обременений и ограничений) и госреестре прав на недвижимое имущество. Во втором случае могут заменяться данные о собственнике имущества, изменяться объём и перечень принадлежащего ему имущества и пр.
Партнёр ЮФ КПД Консалтинг Кирилл Казак привёл пример из практики, когда в результате незаконного вмешательства (возможно, при пособничестве государственного регистратора) была не просто изменена информация о собственнике имущества (клиент первоначально числился в реестре собственником имущества) на другое лицо, а ещё и удалена история перехода права собственности.
«По законодательству, в соответствующем разделе реестра хранится информация обо всех предыдущих собственниках недвижимости, о датах, порядке и основаниях перехода права собственности. Однако в результате была удалена информация, что клиент был собственником имущества, чем фактически стёрли историю объекта недвижимости в этой части», — говорит юрист.
На данный момент, по его словам, подан иск об отмене такой операции и параллельно открыто уголовное производство.
Но больше всего шумихи, наверное, произвело дело одесского программиста Ивана, обвинённого в действиях, которые привели к «незаконному получению справок государственного реестра права на недвижимое имущество» (то есть, специалист выкачал данные из госреестра). Одесское отделение ГП Информационный центр при Минюсте посчитал это серьёзным нарушением и подал заявление в милицию, которое было зарегистрировано в ЕРДР. В квартире у программиста был проведён обыск.
«Касательно юридической составляющей этой ситуации, мы считаем, что в действиях Ивана нет вменяемого ему состава преступления. Как оказалось, администратор базы не установил техническую защиту от парсинга (и не предусмотрел этого в правилах регистрации пользователей). Таким образом, в случае с информацией из реестра, если технической защиты нет, значит, нет и юридического ограничения. То есть, нет оснований считать, что администратор не разрешал такой способ получения данных», — прокомментировал ситуацию юрист АО Безпалый и партнёры Евгений Журавский.
Юрист отметил, что в связи с новой волной рейдерских атак с 2013 года на предприятия мошенники всё чаще и чаще привлекают IТ-специалистов.
«Правильным будет отметить, что в несанкционированном доступе к базам виноваты не только айтишники, но и коррумпированные чиновники, которые предоставляют такой доступ», — считает Журавский.
***
Этот материал опубликован в №10 журнала Корреспондент от 18 марта 2016 года. Перепечатка публикаций журнала Корреспондент в полном объеме запрещена. С правилами использования материалов журнала Корреспондент, опубликованных на сайте Корреспондент.net, можно ознакомиться здесь.