ПромТрансБанк
Содержание |
Цифровой паспорт (4 проекта)
Список известных внедрений ИТ-систем в организации. Добавить проект.История
2023
Как ошибка подрядчика привела к утечке персданных пользователей Промтрансбанка, а банк и не заметил
Как обнаружил TAdviser в августе 2024 года, в судебных разбирательствах между Промтрансбанком и его бывшим подрядчиком, компанией «Экспресс лаб», приводятся причины и подробности утечки персональных данных пользователей с сайта банка.
Сама утечка имела место в 2023 году. Тогда в одной из хакерских группировок обратили внимание на то, что Промтрансбанк сохраняет полученные из единой системы идентификации и аутентификации (ЕСИА) данные в файл «esia.log», который находится в открытом доступе. Записи в нём начинались с 3 ноября 2022 года и по состоянию на январь 2023-го обновлялись в режиме реального времени. Речь идёт о персданных тех, кто подавал заявки на получение кредита. Банк рекомендует использовать для этого «Госуслуги», утверждая, что это повышает шанс одобрения кредита, а также даёт скидку на процентную ставку.
Из постановления Восемнадцатого арбитражного апелляционного суда, опубликованного в системе «Электронное правосудие» в июле 2024 года, следует, что в связи с утечкой персональных данных ФСБ проводила «обследование помещения» Промтрансбанка, а Минцифры тогда потребовало от банка детальный отчет о причинах утечки и мерах, принятых для противодействия инциденту.TAdviser Security 100: Крупнейшие ИБ-компании в России
Промтрансбанк возложил ответственность за утечку на «Экспресс лаб», которая оказывала ему услуги по разработке единой формы заявки на кредит для заполнения её на сайте банка. Причём работы были приняты и оплачены без нареканий. А «Экспресс лаб», в свою очередь, указала на своего сотрудника, который создал и выложил журнальный файл. В компании считают, что на самой ней, как на юрлице, за это ответственности нет.
В своём письме в Минцифры Промтрансбанк указал на следующие причины, приведшие к утечке персданных, говорится в опубликованном судебном постановлении:
- работы по созданию сайта и дальнейшей доработке функционала «заявка на кредит онлайн» на сайте осуществлялись по договору с «Экспресс лаб»;
- сервис был протестирован банком и по выявленным замечаниям «Экспресс Лаб» провело работы по исправлению функционала;
- указанный журнальный файл был создан «Экспресс лаб» для отладки функционала «заявка на кредит онлайн», о чем не было известно банку до выявления факта утечки персональных данных;
- создание журнального файла не было прописано в техническом задании и его создание не согласовывалось с банком;
- по завершении работ по исправлению функционала «заявка на кредит онлайн» работник «Экспресс лаб» не удалил свои тестовые процедуры по созданию и ведению журнального файла и не проинформировал банк о данном факте.
Таким образом, в процессе оказания услуг сотрудник «Экспресс лаб» опубликовал журнальный файл, хранящий информацию о персональных данных пользователей, в открытом виде в интернете без использования каких-либо систем защиты. В результате незащищенного доступа к журнальному файлу, установленного работником «Экспресс лаб», произошла утечка персданных заявителей, отправивших в Промтрансбанк заявку на кредит онлайн.
При подписании актов приемки работ Промтрансбанку не было известно о том, что сотрудник его подрядчика опубликовал журнальный файл, хранящий информацию о персданных пользователей, говорится в судебном документе.
В итоге сотрудник «Экспресс лаб», допустивший ошибку, был привлечён к административной ответственности по ч. 6 ст. 13.12 КоАП (нарушение правил защиты информации), а Промтрансбанк — к административной ответственности по ст. 13.11 КоАП (нарушение законодательства РФ в области персональных данных) в виде наложения административного штрафа в размере 60 тыс. руб. Эту скромную сумму в качестве ущерба банк затем взыскал через суд с «Экспресс лаб».
При этом доводы «Экспресс лаб» о том, что она не несёт ответственности за утечку персданных, суд отклонил. Установление вины сотрудника не является основанием для освобождения компании от ответственности как оператора персональных данных, полагают в суде.
Утечка персональных данных пользователей
В январе 2023 года хакеры одной из группировок обратили внимание на то, что Промтрансбанк сохраняет полученные из Единой системы идентификации и аутентификации данные в файл, который находится в открытом доступе. Текстовый файл с говорящим именем esia.log расположен в корне сайта банка. Записи в нём начинаются с 3 ноября 2022 года и обновляются в режиме реального времени[1].
Банк ПТБ погасит 248 млн долгов своей «дочки»
В январе 2023 года конкурсный управляющий АО «ПТБ-Лизинг» Юрий Набиулин сообщил, что башкирский Промтрансбанк (ПТБ), которому принадлежит эта компания, намерен погасить все ее долги, чтобы вывести ее из банкротства[2].
2007: Участник рынка ценных бумаг
В 2007 году ПТБ расширил сферу своей деятельности, став профессиональным участником рынка ценных бумаг.
2004: Развитие розничного блока
С 2004 года ПТБ активно развивает розничный блок. Банк начал целенаправленную работу по выдаче кредитов населению, а также привлечению депозитов физических лиц. Кроме того, в 2004 году ПТБ одним из первых среди банков республики стал участником системы добровольного страхования вкладов.
1998-2001: Смена названия, расширение спектра услуг
В 1998 году была изменена организационно-правовая форма и наименование банка. Он стал называться ООО коммерческий банк «Кембрий» (ООО КБ «Кембрий»). В числе первоначальных учредителей Банка были крупные башкирские предприятия: АО «Кембрий», АНК «Башнефть», РНПК «ЛУКойл- Башкортостан»,АО «Башнефтегеофизика», АОЗТ «Башсельстрой».
В 2001 году наступил новый этап развития, что было связано с приходом новых собственников, давших банку дополнительный импульс движения в сторону построения современной банковской структуры, ориентированной на широкий спектр банковских услуг не только для юридических, но и физических лиц.Тогда Банк и получил свое современное наименование – «ПромТрансБанк» (Банк «ПТБ»). В том же году Банку была выдана расширенная лицензия ЦБ РФ № 2638 от 22.03.2001 на осуществление банковских операций.
1993: Начало работы
Банк ПТБ – один из родоначальников банковского дела в Башкортостане. Банк начал свою работу в конце 1993 года всего с несколькими сотрудниками в небольшом помещении на пятом этаже здания на улице Ленина, 70 в городе Уфе. Тогда он носил название ТОО КБ «Кембрий» и специализировался на обслуживании предприятий народного хозяйства. По данным ПТБ, он единственный банк в г. Уфе, который за всю историю не менял место своего расположения.