Банк заплатит $1 млн за несвоевременное оповещение об утечке

Резервный банк Индии (RBI) оштрафовал на $1 млн Yes Bank, который вовремя не сообщил регулятору о нарушении безопасности сети банкоматов, которое произошло в 2016 г. Это первое подобное наказание, наложенное на банк, подчеркивает BankInfoSecurity.

Инцидент, случившийся в Yes Bank, на сегодня считается самым масштабным за всю историю индийской банковской системы. Из-за внедренного в сеть вредоносного ПО в период с 21 мая по 11 июля 2016 г. оказались скомпрометированы данные порядка 3,2 млн дебетовых карт. Банк узнал о случившемся только в сентябре того же года от своего подрядчика Hitachi Payment Services, который обслуживал сеть банкоматов.

Согласно нормативам RBI, банки должны сообщать о допущенных нарушениях систем безопасности в течение двух-шести часов после обнаружения, даже если ответственность за инцидент несет третья сторона. Изучив доводы Yes Bank, RBI пришел к выводу, что назначенное наказание является обоснованным.

Многие специалисты по безопасности приветствуют дисциплинарную меру, которую вынес RBI. По их мнению, она принята в интересах всей банковской системы, правительства и общества, а такой крупный штраф поможет обратить внимание бизнеса на важность своевременного уведомления об утечках информации.

Некоторые эксперты говорят, что Yes Bank может переложить обязательство по выплате штрафа (или его части)  на своего подрядчика, но это маловероятно. Многое здесь зависит от условий, которые прописаны в SLA Hitachi.

Yes Bank входят в пятерку крупнейших коммерческих банков Индии. 26 октября он отчитался о результатах за II квартал 2017 финансового года. Чистая прибыль в годовом исчислении выросла на 25% и составила более 10 млрд рупий (порядка $154 млн). Однако, несмотря на такой показатель, акции Yes Bank рухнули почти на 10%. По мнению аналитиков, это связано с резким ростом проблемных кредитов в портфеле организации.