Девальвация данных | Мнения | Известия

Утечки персональных данных стали, к сожалению, нашей суровой реальностью — по данным экспертно-аналитического центра InfoWatch, в 2020 году в мире было скомпрометировано более 11 млрд записей персональных сведений и платежной информации. В СМИ обычно попадают только резонансные случаи, связанные с большим объемом утекших данных либо о кражах у известных компаний, однако по факту подобные инциденты происходят намного чаще. Одним из таких резонансных случаев стала утечка данных 1,3 млн россиян из числа клиентов компании Oriflame, решение по которому российский суд вынес на прошлой неделе.

Когда есть преступление, то должно быть наказание. И утечка персональных сведений здесь не исключение. В России есть несколько видов ответственности за нарушения законодательства в области персональных данных (причем ответственность касается не только утечек, но и несоответствия требованиям обработки и т.д.), одна из них — административная. Именно согласно КоАПу компания Oriflame будет обязана выплатить штраф 30 тыс. рублей.

При попадании в руки злоумышленников скан паспорта может быть серьезным оружием против его владельца. Речь может идти и о стандартном фишинге (когда для более убедительной истории мошенники называют человеку его же паспортные данные, чтобы эффективнее замаскироваться под работника легитимной организации), так и о более сложных схемах, направленных на кражу денежных средств, — всё это делает штраф в 30 тыс. рублей за огромную базу скомпрометированных данных смехотворным.

Стоит сказать, что еще недавно ситуация была интереснее, так как санкции были меньше. У некоторых компаний даже сложилась такая практика, что намного легче заплатить штраф, чем внедрять дорогостоящие системы защиты, которые как раз направлены на предупреждение утечек и защиту обрабатываемых персональных данных как от внешних, так и внутренних нарушителей. Но те организации, деятельность которых строится на обработке большого объема персональных сведений (например, финансовые организации), при утечке обеспокоены не только из-за штрафов, размер которых никак не сопоставим с их возможностями. Тут во главе угла стоят репутационные риски, угрозы оттока клиентов, недополученной прибыли и т.д. Они могут стоить организации намного больше, чем обеспечение достаточного уровня информационной безопасности.

А как дело обстоит не в России, а, например, в Европе? Там штраф за утечку персональных данных — такой же повод для новостей, как и в России, однако с немного другим оттенком — размер санкций часто составляет десятки миллионов долларов. Возьмем, например, наш случай с Oriflame и утечку British Airways в 2018 году, когда в руки к злоумышленникам попали данные 400 тыс. пользователей, которые включали в себя имена и адреса, а также платежные данные. Компания British Airways получила штраф в £20 млн, притом что изначально сумма могла быть разы больше. Подобные случаи даже не требуют подробного анализа произошедших утечек и их отличий между собой (хотя в случае с British Airways частично были украдены даже CVV коды), цифры в 30 тыс. рублей и миллионы фунтов стерлингов говорят сами за себя.

Страшный сон компаний — вступивший в силу 25 мая 2018 года General Data Protection Regulation (GDPR), который устанавливает принципы и требования к защите персональных данных. Одна из главных его особенностей заключается в том, что он подразумевает более серьезную ответственность за несоблюдение правил хранения и обработки персональной информации — закон предусматривает огромные штрафы для компаний-нарушителей. Так, за несоблюдение базовых принципов обработки данных, нарушение правил их передачи, игнорирование запрета надзорного органа на обработку данных, нарушение прав субъекта и др. на компанию будет наложен штраф в размере 4% от общего годового оборота предприятия или €20 млн (в зависимости от того, какая сумма окажется больше). За нарушение порядка уведомления об инциденте, незаконную обработку персональных данных ребенка, отсутствие необходимых технических и организационных мер при их обработке и прочее предусмотрены меньшие, однако не менее существенные штрафы — €10 млн или 2% от общего годового оборота предприятия.

Кроме этого, размер штрафа основывается на таких факторах, как тяжесть нарушения (в том числе учитывается, какие были предприняты компанией действия для минимизации ущерба от инцидента), мотив (было ли нарушение фирмой совершено умышленно для каких-либо целей) и годовой оборот организации. И различные интересные параметры, связанные, например, с тем, сможет ли вообще компания выплатить необходимую сумму. Самое интересное, что при ранней оплате штрафа она может получить 20-процентную скидку (что совсем неплохо, когда мы говорим о миллионах долларов, и достаточно забавно, если иметь такую скидочную систему для штрафов в России).

Если вернуться к Oriflame, их штраф за подобную утечку в юрисдикции GDPR составил бы не один миллион евро. В результате возникает резонный вопрос — а зачем в России компаниям вообще задумываться о сохранности данных своих клиентов и сотрудников? Мотивация у организаций в Европе и Америке более чем понятна. И есть ли шанс, что в обозримом будущем компании будут нести более серьезную ответственность за разглашение персональных сведений неограниченному кругу лиц?

На самом деле будущее уже близко. В 2021 году в статье 13.11 КоАП, которая как раз и регулирует административную ответственность за нарушение законодательства РФ в области персональных данных, появились миллионные штрафы. К сожалению, они пока не касаются утечек (как мы увидели на примере Oriflame), но так как подобные дела набирают всё больший резонанс, стоит надеяться на лучшее. Кроме того, необходимо придавать этим вопросам еще больше публичности, ужесточать наказание за утечки для самих сотрудников, которые ответственны за обеспечение защиты, а также привлекать к процессу как можно больше регулирующих органов. А обычным гражданам стоит никогда не забывать про правила цифровой гигиены.

Ирина Зиновкина,директор по консалтингу ГК InfoWatch

Позиция редакции может не совпадать с мнением автора

Горячие обсуждения
  • Загрузка...
  • Наша позиция
    Добавить комментарий

    Adblock
    detector