Цифровизация современного общества тесно связана с бурным развитием информационных технологий. За последние 5-10 лет мир шагнул в новую эру, когда не только общественные, но и государственные услуги все чаще оказываются в формате «онлайн». Мощным триггером для развития электронного взаимодействия послужила пандемия Covid-19, когда мировое сообщество столкнулось с потребностью дистанционного решения повседневных задач, которые ранее разрешались при личном взаимодействии или в офисе.
Безусловно, внедрение новых технологий является удобным инструментом, когда граждане не выходя из дома могут записаться к врачу, получить консультацию, госуслугу и даже принять участие в судебном заседании. Согласно данным Минцифры, Россия входит в десятку стран-лидеров по уровню цифровизации госуправления. В этот перечень включены 198 стран, и наша страна демонстрирует успехи в этом направлении.
Однако обратной стороной электронного взаимодействия общества и государства является рост киберпреступности, утечки персональных данных граждан и информационные инциденты, к которым Россия оказалась во многом не готова.
Так, количество утечек баз персональных данных (ПД) в России в первом полугодии 2023 года выросло в 4 раза в сравнении с аналогичным периодом 2022 года. Специалисты Роскомнадзора зафиксировали 76 инцидентов, в сеть попали около 177 млн записей о гражданах. Для сравнения: за первое полугодие 2022 года было зафиксировано 19 фактов утечек персональных данных, в ходе которых в открытом доступе оказались около 45 млн записей. На конец 2023 года количество утечек выросло до 220 млн, что превышает население страны и говорит о катастрофических масштабах подобных инцидентов.
По данным МВД России, за последние пять лет преступность с использованием IT-технологий увеличилась в 3 раза: с 174,7 тысячи в 2018 году до 522 тысяч в 2022 году. В 2023 году киберпреступления составляют треть от всех правонарушений, зарегистрированных в России. Киберхищения в основном связаны с «применением методов социальной инженерии»: преступники представляются сотрудниками государственных органов или банков, и люди сами сообщают им сведения о себе. Как правило, жертвами таких преступлений становятся пенсионеры. Самые распространенные схемы кибермошенничеств связаны с созданием фальшивых (фишинговых) сайтов и получением доступа к конфиденциальным данным пользователей.
По данным Банка России, в 2022 году объем хищений со счетов и карт граждан составил 14,2 млрд рублей. За первый квартал 2023 года злоумышленники украли 4,5 млрд рублей, за второй квартал — 3,62 млрд. Сбербанк прогнозирует, что объем средств, похищенных у граждан за весь 2023 год, составит 19 млрд рублей, что больше на 33% показателей прошлого года. Это только официальные цифры. Согласно экспертным оценкам, в 2022 году реальный объем хищений составлял 120 млрд рублей, а в 2023 году приближается к 150 млрд.
Такие объемы хищений стали возможны в первую очередь из-за масштабных утечек персональных сведений граждан и их финансовой информации. Торговля данными стала выгодным бизнесом, а высокая латентность таких преступлений и отсутствие как нормативной базы, так и технических возможностей правоохранительных органов, привели к росту киберпреступности небывалых масштабов.
Среди крупнейших похищений информации в 2023 году оказались: двойная утечка данных бонусной программы «Сберспасибо», онлайн-платформы «СберПраво», «СберЛогистики» (суммарно 52,5 млн записей), сети магазинов «Спортмастер» (46 млн записей) и интернет-аптеки«Zdravcity.ru» (8,9 млн записей). В апреле 2023 года произошли утечки данных из сервиса по продаже билетов «Kassy.ru» (4,5 млн уникальных email и столько же телефонов), интернет-магазина «Zoloto585.ru» (9,9 млн записей) и страховой компании «Согаз» (8,3 млн записей).
Летом произошли утечки данных из торговых гипермаркетов «Ашан» и «Твой Дом». За ними последовали «Леруа Мерлен», сайты «Gloria Jeans», «Book24.ru», «Аскона», «Буквоед», «ТВОЕ», «Читай-город», edimdoma.ru, «АСТ» и «Эксмо».
По данным отчета «О значимых утечках данных в России» от команды Kaspersky Digital Footprint Intelligence, в 2023 году зафиксировано 133 случая публикаций значимых баз данных российских компаний. По сравнению с 2022 годом самих объявлений об утечках стало меньше, но объем опубликованных данных вырос на 33%. Оказавшиеся в сети сведения принадлежали в основном крупнейшим финансовым и страховым компаниям, госструктурам, а также организациям в сфере информационной безопасности.
Большинство скомпрометированных данных (71%), которые оказались в открытом доступе, датируются текущим годом. Так как сами инциденты произошли недавно, данные еще актуальны. Более половины (55%) изученных баз становились публичными в течение месяца после предполагаемой даты выгрузки из систем компании.
Согласно закону «О персональных данных», оператор, допустивший утечку данных, обязан в течение 24 часов самостоятельно сообщить об инциденте в Роскомнадзор, а в течение 72 часов предоставить в ведомство результаты внутреннего расследования с указанием причины и виновных лиц. Однако в связи с незначительными штрафами компании зачастую умалчивали об информационных инцидентах. Это касается также среднего и малого бизнеса, контроль за которым не является таким пристальным, как за крупными компаниями и сервисами.
В связи со значимостью проблемы и ее последствиями для граждан законодателем принимаются меры по усилению борьбы с утечками данных.
Так, в Государственную Думу РФ внесен ряд законопроектов, предусматривающих административную и уголовную ответственность за незаконный оборот персональных данных. Предложенные поправки вводят в УК РФ наказание за нелегальный оборот персональных данных, а также в КоАП РФ оборотные штрафы для операторов за утечку соответствующих баз. Глава 28 УК РФ «Преступления в сфере компьютерной информации» была дополнена ст. 272.1, устанавливающей ответственность за незаконные сбор, хранение, использование и передачу баз данных (или их части), содержащих персональные сведения, а равно создание и (или) обеспечение функционирования информационных ресурсов, заведомо предназначенных для их незаконного хранения и (или) распространения.
Предусматривается наказание в виде штрафа в размере до 300 тыс. рублей, либо в виде принудительных работ на срок до 4 лет, либо в виде лишения свободы на тот же срок. Максимальная санкция в виде 5 лет лишения свободы грозит создателям и администраторам интернет-сайтов с незаконными базами персональных данных.
Отдельное наказание предусмотрено для граждан, которые нелегально собирают, хранят, используют или передают персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрические персональные сведения. В этом случае штраф составит до 700 тыс. рублей, альтернативой будут принудительные работы на срок до 5 лет или лишение свободы на тот же срок.
Минцифры предложило ввести компенсацию пострадавшим от утечек персональных данных (в рамках закона об оборотных штрафах). Данная инициатива получила положительный отзыв в Правительстве РФ. Предлагаемый законопроектом механизм получения компенсации выглядит следующим образом:
- Оператор ПД в случае информационного инцидента сообщает пользователю об утечке его персональных данных.
- После получения информации пользователь должен в течение 15 рабочих дней подать заявку на возмещение причиненного ущерба.
- Компания в течение 20 рабочих дней после получения заявок рассчитывает объем денежной выплаты и направляет предложение пользователям.
- Пользователь вправе принять предложение или отказаться от него в течение 20 рабочих дней.
- Если более 80% пострадавших согласятся на компенсацию, то оператор ПД будет обязан ее выплатить в течение 5 рабочих дней.
Предполагается, что к компании, допустившей утечку, но возместившей нанесенный пользователям ущерб, будут применяться пониженные оборотные штрафы.
Правительством РФ поддержана инициатива о введении оборотных штрафов для бизнеса за повторные утечки персональных данных. В настоящее время оператор ПД может быть оштрафован на сумму до 300 тыс. рублей.
Поправки предполагают внесение изменений в ст. 13.11 КоАП РФ в части увеличения санкции, а именно:
- если произошла утечка данных от 1000 до 10 000 субъектов ПД, штраф для юрлиц составит от 3 до 5 млн рублей;
- за утечку данных 10 000 — 100 000 субъектов ПД — от 5 до 10 млн рублей;
- более 100 000 граждан — от 10 до 15 млн рублей.
За повторное нарушение, если пострадали не менее 1000 человек, штраф составит от 0,1% до 3% выручки за год, предшествующий нарушению, но не менее 15 и не более 500 млн рублей.
За утечки биометрии будет назначаться штраф в размере от 15 до 20 млн рублей. Если оператор ПД не сообщит в установленном порядке Роскомнадзору об утечке и о результатах внутренней проверки, то будет наложен штраф в размере от 1 до 3 млн рублей. Проект закона находится на рассмотрении в парламенте и пока не принят.
С предложенными мерами не согласились бизнес-сообщество, а также Минэкономразвития РФ. В Ассоциации Больших Данных (АБД) предложили заменить оборотные штрафы на саморегулирование и принятие отраслевого стандарта, в соответствии с которым будет проводиться независимый аудит IT-компаний. В АБД входят Яндекс, VK, Сбербанк, Газпромбанк, Ростелеком, МТС, Авито, Ozon, фонд Сколково, Аналитический центр при Правительстве, Центр стратегических разработок и другие крупные операторы персональных данных.
В АБД в обоснование своего предложения заявили, что чем больше чувствительных данных собирает компания, тем серьезнее будут требования к безопасности инфраструктуры. Концепция определяет надежные подходы к хранению и сбору сведений, а также методики улучшения систем информационной безопасности. В ассоциации также уточнили, что компании смогут добровольно проходить оценку соответствия новому стандарту. В первую очередь планируют оценивать процессы организации и управления защитой данных, политику по защите информации и план мероприятий по отработке угроз.
Несомненно, предложения АБД могут быть полезны для усиления информационной безопасности операторов персональных данных, но замена оборотных штрафов на саморегулирование является явной попыткой крупных компаний уйти от ответственности за утечки информации, поскольку саморегулирование, в отличие от штрафов, не является мерой ответственности, а представляет собой механизмом правового регулирования деятельности компаний в области защиты персональных данных. Поэтому воспринимать инициативу АБД следует прежде всего как дополнение к штрафам, но не их замену.
В свою очередь, Роскомнадзор предлагает создать институт спецоператоров для обработки персональных данных. (РКН) разработал «Концепцию повышения безопасности обработки персональных данных в России». Согласно проекту документа, предлагается создать институт спецоператоров персональных данных — юридических лиц, обрабатывающих за плату все или часть персональных данных небольших компаний. Спецоператор будет должен получить аккредитацию в РКН, а также лицензии ФСТЭК и ФСБ на работу с криптографическими средствами защиты информации, иметь необходимую информационную инфраструктуру и технологии.
В Ассоциации больших данных отметили, что инициатива РКН является спорной. В компании OZON негативно оценили идею РКН, поскольку разработанный документ не соответствует реальным бизнес-процессам. Создание крупных операторов, которые аккумулируют персональные данные многих компаний, может оказаться еще большей угрозой, поскольку такие операторы станут мишенью для атак, в том числе с использованием человеческого фактора и методов социальной инженерии. Поэтому спецоператоры, несмотря на планы по получению ими лицензий и аккредитаций, потенциально несут значительные риски утечки огромных массивов данных.
Указанные выше меры по искоренению массовых утечек данных и связанных с ними последствий находятся на этапе проработки в Государственной Думе и других министерствах и ведомствах. Мнения участников расходятся, что тормозит процесс принятия эффективных мер по усилению информационной безопасности и защите прав граждан.
В итоге текущий 2023 год стал в очередной раз рекордным по числу утечек данных, а также росту киберпреступлений, которые лишили граждан нашей страны миллиардов рублей. Телефонное мошенничество, спам-звонки, прозвоны, спам-письма на email и в мессенджерах, фишинговые сайты, кража паролей и информации — все это реальность XXI века, которая в нашей стране достигла угрожающих и без преувеличения национальных масштабов.
Дальнейшее затягивание с введением жестких мер ответственности за незаконный оборот персональных данных угрожает новыми финансовыми потерями для граждан, а также росту киберпреступности и «черного рынка» информации.
Цифровизация всех сфер жизни будет продолжаться — это эволюционный процесс перехода от аналоговой модели взаимодействия общества и государства к электронной. Однако без наведения порядка с утечками персональных данных, без снижения количества информационных инцидентов и киберпреступлений невозможно устойчивое развитие цифровой среды, безопасное внедрение IT-технологий в экономике и социальной сфере, поэтому надеюсь, что в 2024 году государство примет необходимые законодательные и организационные меры для изменения ситуации к лучшему.
Автор: Баранов Игорь Павлович, преподаватель АИС, адвокат, ведущий эксперт по проверкам правоохранительными органами субъектов предпринимательской деятельности.
Оригинал публикации на сайте CISOCLUB: "Утечки персональных данных в 2023 году: примеры, последствия, новые угрозы и меры государства по разрешению ситуации".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Эксперты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
