В открытый доступ попали данные клиентов торговых сетей «Ашан» и «Твой дом». Компания «Ашан» подтвердила факт утечки. В файлах, которые связывали с «Ашаном», содержались фамилия и имя, телефон, адрес электронной почты и другая информация. Всего около 8 млн строк. У компании «Твой дом» слито порядка 700 тысяч строк. Как были получены эти данные, не уточняется. Случившимся уже заинтересовались в Роскомнадзоре.
В пресс-службе «Ашана» заявили: компания проводит внутреннее расследование «с целью установления вектора атаки и источника утечки». «Ашан» сожалеет о случившемся и приносит извинения клиентам, подчеркнула представитель ретейлера.
Чуть позже стало известно об утечке данных с сайта gloria-jeans.ru. Представлено более 3 млн электронных адресов. Проблема с утечками данных в России очень серьезная, считает управляющий RTM Group, эксперт в области информационной безопасности и права в IT Евгений Царев.
«Та ситуация, которая сложилась с утечками в России, аномальна. То есть в западных странах, да и на востоке такого не происходит. Я имею в виду масштаб. Государство долгое время не обращало на этот вопрос внимания. Ни граждане не могли получить компенсацию за утекшие персональные данные, ни штрафов для обработчиков персональных данных существенных не было. И все это длилось десятилетиями, и вот в настоящий момент мы оказались в ситуации, когда компании вынуждены будут пересматривать информационные системы в области IT. Также будут пересматривать вопросы информационной безопасности».
На рынке появился существенный, даже «аномальный» спрос на специалистов по защите данных, обращает внимание Царев. Злоумышленников, похитивших данные, чаще всего ловят в момент продажи информации. Часто это действующие или бывшие сотрудники компаний. Больше всего на черном рынке ценятся банковские данные, информация из пенсионных фондов и страховых компаний. Поэтому в этом секторе защита лучше, чем у торговых сетей. Базы данных клиентов магазинов могут использовать, например, для таргетированной рекламы.
В конце прошлого года Минцифры подготовило законопроект о введении штрафов за утечку персональных данных пользователей. Они могут составить до 3% от оборота компании. Подобная практика распространена на Западе. Сообщалось также, что штраф будет соразмерен объемам и критичности слитых данных. За первый случай утечки сумма наказания будет фиксированной. Потом — оборотный штраф. Если компания будет компенсировать ущерб клиентам, а также предварительно аттестует свою инфраструктуру безопасности, это могут посчитать смягчающим обстоятельством.
Мотивируют ли такие меры лучше защищаться? Отвечает исполнительный директор, эксперт по защите персональных данных компании «Б-152» Максим Лагутин.
«Все ожидают, что в конце июня — начале июля появится уже публичный, практически предфинальный законопроект, который пройдет в Госдуму. Но то, что мы видели, — да, там действительно большие штрафы, от фиксированных до оборотных. И действительно, несколько крупных бизнесов начали что-то делать. Но пока штрафы маленькие. Это не мотивирует бизнес. Не каждый бизнес это мотивирует. Обычно только IT-бизнес этим и мотивируется. Поэтому пока даже я слышал от нескольких консультантов, что есть стратегия заплатить маленький штраф, пока он не стал большим».
Как показывает судебная практика, сейчас компании штрафуют чисто символически. Например, недавно мировой суд Савеловского района Москвы признал, что действия компании VK привели к утечке данных пользователей почты на Mail.ru. За это назначен штраф в размере 60 тысяч рублей.
Специалисты отмечали: в прошлом году объем слитых данных в России вырос в 40 раз по сравнению с 2021 годом. Было около 150 крупных утечек. Эксперты связывают количество кибератак на российские компании в том числе с обострением международной обстановки.