Безупречный комплаенс-менеджмент недостижим даже для гигантов финансовой индустрии.
Комплаенс-система Сбербанка дала сбой: произошла утечка персональных данных клиентов. Изначально издание «Коммерсантъ» сообщало о том, что к продаже предлагаются данные 60 млн карт Сбера. Высказывались даже предположения, что злоумышленниками скачана база данных крупнейшего банка России. Глава Сбербанка Герман Греф опроверг эту информацию, признав, однако, что были похищены данные 200 человек. При этом пароли онлайн доступа и CVV-коды карт остались недоступными для манипуляций. На настоящий момент карты пострадавших граждан срочно перевыпущены банком.
По заявлению Г.Грефа причиной утечки данных стали действия одного из сотрудников, который попытался продать информацию в интересах личной выгоды и выложил данные клиентов Сбера в Интернет. Преступник работал в должности руководителя сектора и имел права доступа администратора к базе данных. Службы, обеспечивающие кибербезопасность Сбербанка, стали переписываться в Сети с продавцом информации и таким образом определили внутренний характер утечки. В ходе срочно начавшейся проверки из начального списка, включавшего 35 подозреваемых, были сперва выделены четверо потенциальных злоумышленников, а затем был найден истинный виновник.
Утечка персональных данных в Сбербанке представляет собой показательный пример нарушений работы комплаенс-системы. В данном случае проявили себя такие уязвимости как недостаточная кибербезопасность, сбой механизмов противодействия коррупции и мошенничеству и недоработки корпоративной этики.
Между тем Сбер является одним из флагманов российского комплаенса. Комплаенс-система Сбербанка оснащена всем необходимым инструментарием. В 2016 году Сбер получил сертификат ICA по стандарту ISO 19600:2014 — «Управление функцией комплаенс». Сертификат констатирует высокий уровень комплаенс-менеджмента по таким направлениям как противодействие отмыванию незаконных доходов и финансированию терроризма, противодействие коррупции, контроль инсайдерских сделок и конфликтов интересов. В Сбербанке внедрены автоматизированные процедуры, минимизирующие риски попадания под экономические санкции. Банк выполняет требования американского закона о налоговом комплаенсе, имеющего экстерриториальную юрисдикцию. В Сбере действует кодекс корпоративной этики, в котором прописаны этические обязательства руководства организации и принципы соблюдения этических требований сотрудниками. Горячая линия управления внутренней безопасности принимает сообщения о коррупционных действиях сотрудников, использовании инсайдерской информации и проявлениях конфликтов интересов.
Представители Сбербанка заявили, что сделали серьёзные выводы из чрезвычайного происшествия и что будет усилен контроль доступа сотрудников к работе информационных систем банка.
