Минцифры подготовило законопроект об увеличении штрафов для компаний за утечку персональных данных. Ведомство предлагает ввести штрафы на сумму до 3% годового дохода. Мы выясняли, как наказываются компании сейчас и почём на рынке наши данные.
Автор Мария Иваткина
Цифровая «обнажёнка»
В текущем году в России рекордно выросло число утечек персональных данных. В сеть попала информация о клиентах «Яндекс.Еды», Delivery Club, Wildberries, СДЭК и т. д. Недавно ретейлер «ВкусВилл» официально объявил, что упустил данные более 230 тыс. человек, которые пользовались его услугами. На рынок оказались выброшены номера телефонов, адреса электронных почт, информация о доставке, последние четыре цифры банковской карты и т. д.
Месяцем ранее американская корпорация Meta* обнаружила утечку данных около миллиона пользователей соцсети Facebook*. В службе безопасности сказали, что всему виной более 400 вредоносных приложений, где пользователям предлагали авторизоваться через Facebook. После этого данные попадали к злоумышленникам.
До этого произошла утечка баз данных транспортной компании СДЭК. Скомпрометированными оказались имена и пароли пользователей, адреса электронных почт, телефоны, даты рождения, даты создания и обновления профиля. СДЭК грешит утечками не впервые. В начале года компания также допустила слив данных, после чего пользователи подали коллективный иск на 2,2 млн рублей.
Куда уходят данные
Персональные данные – это востребованный на рынке товар, в покупке которого заинтересованы злоумышленники. Рынком служит даркнет (сегмент интернета, который скрыт из общего доступа). Там можно найти информацию практически на каждого человека. Цены разные: номер телефона – дешевле, ксерокопия паспорта – дороже. Дальше – дело техники. Злоумышленники могут:
- обзванивать потенциальных жертв под видом сотрудников ЦБ, прокуратуры и сотрудников банков, добиваясь перевода денег на «безопасный счёт»
- взламывать социальные сети и размещать от имени скомпрометированного человека ксерокопии его документов с мольбами перевести деньги на срочную и дорогостоящую операцию ему или его близким
- брать кредит на ничего не подозревающего человека по предварительному сговору с сотрудником какой-нибудь МФО-однодневки и т. д.
Схем оболванивания населения множество, и они продолжают работать. По данным Центробанка, лишь в третьем квартале 2022 года мошенники украли у россиян почти 4 млрд рублей.
Ответственность компаний
На сегодняшний день за утечку персональных данных компании в России единовременно платят до 100 тыс. рублей. И то, как показывает судебная практика, максимальный штраф назначают редко.
«Правоприменительная практика такая, что за массовые утечки «Яндекс», Delivery Club и другие организации платили 60-80 тыс. рублей. Это слёзы. Компаниям просто можно не защищать данные, а даже торговать ими, потому что наказания, можно считать, нет», – сказал «Абзацу» ведущий аналитик Mobile Research Group Эльдар Муртазин.
Минцифры подготовило законопроект об увеличении штрафов для компаний за утечку персональных данных. Как рассказал глава ведомства Максут Шадаев, оно предлагает штрафовать организации на сумму до 3% годового дохода.
«Оборотный штраф важен. Как только он появится, компании должны начать защищать свои данные лучше и инвестировать в это деньги. Сейчас они инвестируют зачастую по остаточному принципу. Хороший пример – IT-система СДЭК. Она дырявая, и каждые полгода у них утекают данные их клиентов, и их это не особо заботит», – подчеркнул Муртазин.
Однако ни одна самая навороченная система защиты, которая стоит больших денег, не защитит от человеческого фактора – тех сотрудников, которые хотят в дополнение к основному окладу немного подзаработать на продаже данных.
«От сотрудников защищаться невозможно. Если человек имеет доступ к информации, и он хочет её слить, то он её сольёт», – констатировал Муртазин.
Сейчас дела с жадными до наживы сотрудниками чаще всего спускаются на тормозах. Крупные компании решают вопрос либо выговором, либо увольнением. До судов такие дела чаще всего не доходят.
«Важно, чтобы сотрудники знали, что это для них может обернуться либо личным штрафом, либо уголовным делом. У нас долгое время сотрудники салонов сотовой связи за копейки (1000-1500 рублей) смотрели детализацию с чужих номеров, а сейчас правоприменительная практика такая, что они получают за это конкретные сроки – два-три года. Проблема постепенно сходит на нет, потому что люди понимают зону ответственности», – подчеркнул эксперт.
Дела об утечке персональных данных в России слишком долго спускались на тормозах. Причина – лоббирование компаниями своих интересов, в том числе в органах законодательной власти. Пройдёт ли закон об оборотных штрафах теперь, покажет время.
*Деятельность Meta (соцсети Facebook, Instagram) запрещена в России как экстремистская
