Почему наши персональные данные по-прежнему легко попадают в Сеть?
Повышать штрафы нужно, но этого недостаточно
Представители власти в России медленно, но верно (а точнее, верно, но медленно) стараются решить вопрос защиты персональных данных граждан. Не так давно вице-спикер Государственной думы РФ Петр Толстой озадачился тем, что в Сеть утекли данные его коллег. Затем лидер фракции «Единая Россия» в Госдуме Сергей Неверов заявил: «Следует подумать в том числе и над повышением штрафных санкций за инциденты с информационной безопасностью персональных данных». В колонке, написанной для «Реального времени», руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев объясняет, почему считает эту инициативу здравой и своевременной, но недостаточной.
База сканов паспортов за 300 долларов
Защита персональных данных обеспечивается в России хуже, чем за рубежом. Европейские и американские законы гораздо строже в отношении компаний — они считают нарушением уже сам факт наличия уязвимости, то есть возможность незаконного использования данных. Вступивший в силу в прошлом году регламент GDPR обязывает компании сообщать о таком инциденте в течение 72 часов. И если взглянуть на главных штрафников 2018 года (а это, помимо Facebook и Uber, компании Yahoo! и Equifax), то они попадали «под раздачу» как раз из-за того, что тянули с объявлением об утечке.
Российский же закон не требует от операторов обработки персональных данных заявлять об инциденте. Добровольно это мало кто делает (по данным нашего исследования, только 12% опрашиваемых компаний). Поэтому об утечках из российских компаний мы узнаем по косвенным признакам, когда очередной инсайдер или хакер выкладывает очередную базу в даркнет. А если судить по «ассортименту» данных в «темном интернете», то почти в каждом крупном банке инсайдеров хватает. Например, на первом же попавшемся сайте вы можете найти базу скан-копий паспортов в 500—700 штук за 300 долларов. Стоимость зависит от полноты и актуальности базы.
Жертвы утечек тоже не очень активно заявляют о своих правах. Между тем регулятор (Роскомнадзор) работает по обращениям. С 1 сентября 2015 года, когда в России появился реестр операторов персональных данных, суды приняли всего 238 положительных решений по обращениям Роскомнадзора. Цифра смешная на фоне количества операторов в реестре — 401 624 по состоянию на 31 декабря 2017 года.
На первом же попавшемся сайте вы можете найти базу скан-копий паспортов в 500—700 штук за 300 долларов
Системы защиты от утечек стоят миллионы рублей, а наказание за утечку — десятки тысяч
Чаще компаниям-нарушителям просто выписывают штраф. На сегодня его верхний предел для юридических лиц составляет 75 тысяч рублей, и это штрафы за обработку данных субъекта без его письменного согласия. Итоговая сумма выписанных штрафов за прошлый год составила 4 068 500 рублей. То есть 54 выплаты по максимальной планке. На фоне количества операторов в стране — опять-таки мизер. С каждым годом штрафы возрастают, но все еще остаются очень низкими.
Однако одними штрафами проблему не решить, должен быть изменен формальный подход к исполнению закона. Как он применяется, хорошо видно на примере утечки данных из московских МФЦ. Пресса и общественность заявили о доступности копий документов на компьютерах Центра, но регулирующее ведомство не увидело в этом нарушения закона. По срокам вынесения решения видно, что серьезного разбирательства, возможно, провести не успели.
Так что ситуация, по сути, абсурдная. Организации имеют право запрашивать и использовать документы, но обеспечивают защиту этих данных условно. Инструменты защиты есть, существуют современные автоматизированные системы защиты от утечек (DLP), которые берут под контроль любые манипуляции с данными в организациях, а также подозрительную активность сотрудников. Эти программные комплексы часто не применяют из соображений экономии и по причине низкой вероятности наступления наказания за разглашение персональных данных. Стоимость программ составляет миллионы рублей, наказание — десятки тысяч.
Однако одними штрафами проблему не решить, должен быть изменен формальный подход к исполнению закона
Единственная причина, по которой компании в этой ситуации принимают меры по защите данных, — это вероятные имиджевые риски, и они с каждым годом возрастают. Технические средства сегодня позволяют эффективно бороться с утечками. Так что единственное, что нужно компаниям — это желание, средства и люди.
Подписывайтесь на телеграм-канал, группу «ВКонтакте» и страницу в «Одноклассниках» «Реального времени». Ежедневные видео на Rutube, «Дзене» и Youtube.