18.07.2022 15:08
15605

Защита персональных данных: закон суров, но только для тех, кто его соблюдает

Защита персональных данных: закон суров, но только для тех, кто его соблюдаетУ оператора экспресс-доставки документов и грузов СДЭК произошла новая утечка данных пользователей. Об этом сообщили тelegram-каналы компании Infosecurity и «Утечки информации».
Похищенные данные объединены в три файла. Первый содержит более 160 млн записей с данными клиентов: Ф.И.О. и адрес электронной почты получателя, название компании отправителя, идентификатор отправителя/получателя, код пункта самовывоза.
Второй файл включает более 30 млн строк с информацией о физических и юридических лицах (Ф.И.О./название компании на русском и английском языках, телефоны, адрес электронной почты, почтовый адрес и др.). Третий файл содержит более 90 млн строк с телефонами, идентификаторами отправителя/получателя.
В компании СДЭК уже подтвердили факт утечки данных и заявили о том, что уже проводят внутреннее расследование. От подробных комментариев в компании отказались, ссылаясь на конфиденциальность.
Ранее СДЭК уже страдала от хакерских атак. В конце февраля из компании похитили файл с 466 млн строк с ID и телефонами и еще один с 822 млн строк с ID, Ф.И.О. и адресами электронной почты. СДЭК официально подтверждала факт утечки, но заявила, что в базе нет номеров документов и иной важной персональной информации, в том числе платежной.

Таким образом, в ходе двух утечек компания потеряла данные нескольких десятков миллионов клиентов. Как отмечают эксперты, это стало печальным рекордом на российском рынке.

Так, эксперт Центра продуктов Dozor «РТК-Солар» Алексей Кубарев считает, что утечка пока претендует на звание самой крупной в 2022 году.
«Утекший из СДЭК файл с информацией о физических и юридических лицах содержит 30 млн строк данных. Общее население России на данный момент составляет около 150 млн человек, из них 90 млн являются интернет-пользователями. То есть в данной утечке могли оказаться данные до 30% российских интернет-пользователей», — отметил Кубарев.
Между тем, до сих пор неясно, что стало причиной столь масштабных утечек. В самой компании ссылаются на некие хакерские атаки, но эксперты считают, что причиной могли стать внутренние злоумышленники и некорректные настройки доступа к серверам компании из интернета.
В безопасность данных надо вкладываться, но при символических – с точки зрения крупного бизнеса – штрафах, дешевле периодически раскошелиться и понести наказание, чем регулярно платить за IT-безопасность.
Как отмечают эксперты, выход может быть, во-первых, в оборотных штрафах с выплатами не только в пользу государства, но и в пользу потерпевших. Во-вторых, должны быть внедрены прозрачные критерии оценки качества безопасности данных, чтобы можно было определять степень вины оператора данных. В-третьих, IT-безопасность можно и нужно делегировать профессиональным компаниям на условиях аутсорсинга.

Но пока никто из крупных компаний на это не идет, с началом специальной военной операции российские компании регулярно подвергаются кибератакам.

Кроме СДЭК, в этом году было еще несколько масштабных утечек данных пользователей: у сервисов «Яндекс.Еда», Tutu.ru, Delivery Club. У «Яндекс.Еды» в сеть попали 6,8 млн уникальных номеров телефонов клиентов. Как объясняли в компании, причиной стали недобросовестные действия одного из сотрудников.
В конце мая стало известно об утечке базы заказов Delivery Club, в которой содержались Ф.И.О. и адреса пользователей, а также информация об их заказах. Delivery Club подтверждал утечку данных о некоторых заказах, совершенных пользователями, но подчеркивали, что банковские реквизиты не были скомпрометированы.
Проблема приняла настолько серьезный характер, что в дело решило вмешаться Минцифры.
В апреле, в ходе парламентских слушаний в Госдуме, посвященным кибербезопасности, глава Минцифры РФ Максут Шадаев заявил о намерении ввести оборотные штрафы в отношении компаний, которые допускают утечку персональных данных клиентов.
«Мы будем просить в этом году, совместно с Роскомнадзором будем выходить с инициативой вводить большие оборотные штрафы для бизнеса, который допустил утечку персональных данных», — заявил Шадаев.
Между тем, для государственных органов таких мер вводить не планируется.
«Если госорган (допустил утечку), то будем увольнять. Госорганы же живут на народные бюджетные деньги», — подчеркнул Шадаев.
Напомним, что сейчас максимальный штраф за утечку персональных данных для бизнеса составляет 500 тысяч рублей, тогда как оборотный штраф может достигать от 1% до 15% выручки компании.
О том, какой именно штраф будет наложен на компании, Шадаев не сообщил. Ранее глава комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн предлагал ввести для юридических лиц и индивидуальных предпринимателей штраф в 1% от совокупной выручки за год.
Соответствующий законопроект депутаты могут рассмотреть уже во время осенней сессии.
В законопроекте определят границы для оборотных штрафов (минимальный и максимальный процент от выручки, который можно будет взыскать), опишут смягчающие и отягчающие обстоятельства. К последним могут отнести факт сокрытия информации об утечке.
Между тем, эксперты скептически оценивают все эти попытки, которые, по их словам, приведут только к новым штрафам для крупных компаний, но никак не остановят процесс утечки данных.
«Утечки – оборотная сторона цифровизации. Принцип прост: чем меньше информации о гражданах имеет право собирать компания, тем меньше вреда может нанести воровство данных. Кроме того, необходимо, на мой взгляд, сосредоточиться не только на оборотных штрафах в пользу государства, но и на защите конкретных лиц, которым нанесены убытки
Для этого нужен доступ граждан к информации о том, какие их данные есть в компаниях и, безусловно, нормальный судебный механизм взыскания компенсации вреда лицом, чьи данные не смогла сохранить компания.
Сегодня взыскать убытки от утечки персональных данных через суд практически невозможно, так как нужно доказать причинно-следственную связь между нарушением и убытками, которые, кстати, могут наступить и в будущем. Кроме того, наши суды не особенно щедры в суммах назначения компенсаций физическим лицам, что обессмысливает обращение к ним за защитой», — отмечает руководитель адвокатского агентства «Законовед» Григорий Сарбаев.
Эксперты обращают внимание на то, что данная проблема не является сугубо российской, так как западные компании также несут многомиллиардные убытки от хакерских атак. Так что, если вы не хотите, чтобы ваши персональные данные стали собственностью мошенников и чужих глаз, то вам просто стоит отрезать себя от всех электронных устройств
Но возможно ли это в современном мире?
Подписывайтесь на наш телеграм-канал «БИЗНЕС Крым» https://t.me/businesskrim, чтобы быть в курсе всех новостей и событий!