Штрафы утечкам не помеха

После консультаций с отраслью Минцифры заявило о подготовке доработанного законопроекта об оборотных штрафах за утечки персональных данных. В ведомстве уверены, что дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей.

"Минцифры настаивает на усилении ответственности за утечки персональных данных. Это серьезная проблема, для решения которой не хватает существующей регуляторики. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем. На основании утекших данных часто создают мошеннические онлайн-сервисы, которые привлекают пользователей своей простотой и удобством и в итоге причиняют еще больший ущерб гражданам", - так мотивирует свою позицию Минцифры.

По мнению руководителя направления InfoWatch Traffic Monitor Александра Клевцова, которое он высказал на онлайн-конференции " Утечки информации: за что боролись и с чем боремся сейчас?", оборотные штрафы, как показал пример GDPR, являются довольно действенной мерой, но при условии, что оператор также будет заинтересован. Но у многих компаний бизнес не понесет ущерба в случае утечки. Типичным примером, по мнению Александра Клевцова, являются мобильные операторы, у которых клиентские данные однотипны, и их утечка не несет имиджевых потерь. Зато у ипотечного банка или страховой компании попадание информации о клиентах к конкуренту является серьезной проблемой, которой обязательно воспользуются конкуренты.

Плюс ко всему, европейские нормы прописывают и обязанности субъекта. В итоге если, например, кто-то разместит о себе какую-то чувствительную информацию на публичном интернет-ресурсе, то владелец этого ресурса не будет нести ответственность по GDPR.

Однако данную позицию разделяют далеко не все. К примеру, независимый эксперт Алексей Плешков на том же мероприятии заявил, что утечки не привязаны к стране или компании, а объем и вовсе является вещью субъективной и очень относительной. Плюс ко всему, в российском законодательстве до сих пор отсутствуют ключевые определения, в том числе и того, что именно относится к персональным данным.

Также Алексей Плешков напомнил, что часто виновником утечки является не сама компания, а ее контрагенты, например, аутсорсинговые центры обработки вызовов, которые к тому же обслуживали прямых конкурентов. Причем для связи с контрагентами часто применяются плохо защищенные каналы связи вроде бумажной почты, мессенджеров, разного рода файловых хранилищ. Нередко возникали ситуации, когда уже уволенные сотрудники сохраняли доступ к этим средствам обмена данными. Именно это, по мнению эксперта, стало основной причиной массовых утечек данных в российских банках 2016-2018 гг.

По мнению директора по безопасности производителя бытовой техники Redmond Ивана Бирули, утечек данных избежать невозможно. Главным слабым звеном тут является персонал. Плюс ко всему, люди сами оставляют цифровые следы на всевозможных ресурсах, и эти данные не защищены или защищены очень плохо. Все это, однако не отменяет необходимости защищать данные. Также нужно стремиться, чтобы инцидент не приводил к ущербу для компании и ее клиентов.

Александр Клевцов также обозначил проблему формирования культуры работы с данными, которая практически отсутствует. И для этого необходимо использовать все средства, в том числе социальную рекламу.

Также Иван Бируля посетовал на недостаточный уровень квалификации сотрудников правоохранительных органов, что, однако, не удивительно, учитывая их уровень заработной платы. В итоге уровень раскрываемости того же телефонного мошенничества составляет лишь 7%. Также Иван Бируля обратил внимание, что ущерб от утечек для отдельного пострадавшего очень небольшой, что является поводом в отказе от возбуждения уголовного дела. Зато для того же банка или оператора связи ущерб будет выше на порядки, и если в качестве потерпевшего будет выступать он, то результат будет совсем другим.

Руководитель департамента клиентского сервиса "РТК-Солар" Анна Попова также обратила внимание на то обстоятельство, что не существует точных методик оценки ущерба от утечек данных. Она сравнила их с оценкой морального вреда в судах, компенсации по которому обычно мизерные.

Директор по стратегии компании "Безопасность 360" Игорь Елисеев рассказал о ряде схем, которые позволяют минимизировать возможные оборотные штрафы. Это, например, передача обработки персональных данных в дочерние компании с небольшим оборотом. Однако Алексей Плешков обратил внимание, что к ответственности могут привлечь не только дочернюю, но и материнскую компанию. И в целом пока практики еще очень мало, и насколько действенными окажется эта или другие схемы, пока неясно.