31 октября 2023 года Роскомнадзор сообщил СМИ, что ведомство не получало уведомлений о возможной утечке данных после инцидента безопасности, который затронул сайт Национальной системы платёжных карт (НСПК, оператора платёжной системы «Мир»).
«По состоянию на 13:00 31 октября 2023 года Роскомнадзор не получил уведомление об инциденте от оператора ПД», — сообщили СМИ в РКН. По закону о персональных данных оператор ПД в течение суток с момента утечки должен уведомить Роскомнадзор об инциденте.
В случае подтверждения информации и выявления факта утечки в результате расследования РКН может составить и передать в суд административный протокол по ч. 1 ст. 13.11 КоАП. В этом случае за нарушение законодательства в области персональных данных НСПК или стороннему подрядчику компании может грозить административный штраф в размере от 60 тыс. рублей до 100 тыс. рублей.
Согласно данным сайта НСПК (из «Политики обработки и защиты персональных данных») именно АО «НСПК» занимается на этом ресурсе обработкой персональных данных, а также выполняет требования по защите ПД.
30 октября 2023 года СМИ сообщили (1, 2, 3), что основной сайт НСПК nspk.ru подвергся кибератаке. Этот портал является информационным и не имеет отношения к финансовой инфраструктуре системы «Мир».
«Сайт НСПК разработан и обслуживается сторонним подрядчиком. Он является только визитной карточкой с информацией о деятельности компании и не содержит никаких конфиденциальных данных, а также не имеет отношения к платёжной инфраструктуре. Получить с сайта доступ к каким-либо системам компании невозможно. Сервера и ЦОДы компании не имеют доступа в интернет. Обработка всех платежей по банковским картам и операций через СБП осуществляется НСПК в штатном режиме», — сообщили в НСПК.
По информации профильных экспертов по ИБ, в ходе кибератаки злоумышленники смогли на несколько минут изменить интерфейс главной страницы сайта, но потом доступ к сайту был заблокирован. С момента инцидента (вечер 30 октября) и по настоящее время сайт nspk.ru недоступен.
Источник новости: habr.com