Прокуроры считают, что южнокорейская криптовалютная биржа Bithumb не приняла адекватных мер для защиты персональных данных, которые в итоге попали в руки хакеров.

По словам обвинителей, утечка информации о 31 тыс. клиентов в 2017 году помогла хакерам взломать платформу и украсть криптовалюты на 7 млн долларов. Тогда с компьютера сотрудника в общий доступ попали имена пользователей, номера телефонов, адреса электронной почты и история криптовалютных транзакций.

Теперь прокуроры обвиняют Bithumb в хранении клиентских данных без шифрования и неиспользовании программ для обеспечения безопасности.

Биржа пообещала приложить все усилия для защиты клиентов, хотя заявление обвинителей о связи между утечкой и хакерским взломом отрицает.

При этом имя Bithumb появлялось в сводке ИБ-происшествий уже трижды. Хакеры воровали деньги пользователей сервиса в 2017 году (7 млн долларов), в 2018 году (31 млн долларов) и нынешней весной (19 млн долларов).

Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев считает, что от криптобирж не стоит ожидать серьезных шагов в сторону ИБ:

– Обвинения справедливые, но вряд ли этот случай изменит к лучшему ситуацию с безопасностью информации на криптобиржах.

в России, и за рубежом криптобиржи зарегистрированы как юрлица, поэтому должны принимать меры по защите персданных, с которыми работают. Однако штрафы за утечки ПДн у нас только на стадии рассмотрения, и, судя по всему, предложенные суммы будут несоизмеримы с реальными потерями (Минкомсвязи предлагает штрафовать юрлиц максимум на 40 000 рублей). В США и ЕС эти суммы выше и ощутимее даже для криптобирж с их миллионными доходами. Повышение штрафов в теории могло бы заставить биржи следить за ПДн пристальнее.

Традиционные биржи участвуют в обмене финансовыми транзакциями, и этим близки к банковскому сектору. Поэтому к ним должны предъявляться требования по защите данных, схожие с банковскими. Биржи должны следовать различным стандартам – от международного PCI DSS (если задействованы кредитные карты) до региональных, вроде 152-ФЗ или GDPR.

Опыт традиционных бирж могли бы перенять и криптобиржи, но большинство из них не стремится к полной легализации, ратуя за свободный рынок и анонимность. Где уж тут задумываться о безопасности персданных! Поэтому утечки с криптобирж были, есть и будут.