Повышать штрафы за утечки нужно, но этого точно недостаточно
10.07.2019

Во время парламентский слушаний в Госдуме 8 июля лидер фракции «Единая Россия» Сергей Неверов заявил о необходимости повысить штрафы за инциденты, связанные с информационной безопасностью персональных данных. «Следует подумать в том числе и над повышением штрафных санкций за инциденты с информационной безопасностью персональных данных», – сказал он. Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев считает эту инициативу здравой, своевременной, но недостаточной.

Ситуация в России с защитой персональных данных хуже, чем за рубежом (в Европе, Америке). Европейские и американские законы гораздо строже в отношении компаний и предусматривают ответственность за неразглашение данных об утечках. Они считают нарушением сам факт наличия уязвимости, то есть потенциальную возможность использования данных незаконно.

Вступивший в силу в прошлом году регламент GDPR обязывает компании сообщать о таком инциденте в течение 72 часов. И если взглянуть на главных штрафников 2018 года (а это кроме Facebook и Uber компании Yahoo! и Equifax), они попадали под раздачу из-за того, что тянули с объявлением об утечке.

Российский же закон не требует от операторов обработки персданных заявлять об инциденте. Добровольно это мало кто делает (по данным нашего исследования, только 12 % опрашиваемых компаний). Поэтому об утечках из российских компаний мы узнаем по косвенным признакам, когда очередной инсайдер или хакер выкладывает очередную базу в даркнет. А если судить по «ассортименту» данных в «темном Интернете», почти в каждом крупном банке инсайдеров хватает. Например, на первом же попавшемся сайте вы найдете базу скан-копий паспортов в 500 штук за 300 долларов или 700 штук – за ту же цену. Стоимость зависит от полноты и актуальности базы.

Жертвы утечек тоже не очень активно заявляют о своих права, а регулятор (Роскомнадзор) работает по обращениям. С 1 сентября 2015 года, когда в России появился реестр операторов персональных данных, суды приняли 238 положительных решений по обращениям Роскомнадзора. Цифра смешная на фоне числа операторов в реестре – 401 624 по состоянию на 31 декабря 2017.

Чаще компаниям-наушителям просто выписывают штрафы, на сегодня максимальный для юридических лиц – 75 000 рублей, и это штрафы за обработку данных субъекта без его письменного согласия. Итоговая сумма выписанных штрафов за прошлый год составила 4 068 500 рублей. Это 54 выплаты по максимуму. На фоне количества операторов в стране опять-таки мизер. Каждый год штрафы возрастают, но остаются очень низкими.

Но одними штрафами проблему не решить, должен быть изменен формальный подход к исполнению закона. Как он применяется, хорошо видно на примере утечки данных из московских МФЦ. Пресса и общественность заявила о доступности копий документов на компьютерах Центра, но Роскомнадзор не увидел в этом нарушения закона. По срокам вынесения решения видно, что серьезного разбирательства, скорее всего, провести не успели.

Так что ситуация по сути абсурдная. Организации имеют право запрашивать и использовать документы, но обеспечивают защиту этих данных условно. Инструменты защиты есть, существуют автоматизированные современные системы защиты от утечек (DLP), которые берут под контроль любые манипуляции с данными в организациях, а также подозрительную активность сотрудников. Эти программные комплексы часто не применяют из соображений экономии и по причине низкой вероятности наступления наказания за разглашение персональных данных. Тогда как стоимость программ составит миллионы рублей, наказание – десятки тысяч.

Единственная причина, почему компании в этой ситуации принимают меры по защите данных, – это вероятные имиджевые риски, и они с каждым годом нарастают. Технические средства сегодня позволяют эффективно бороться с утечками. Так что единственное, что нужно компаниям – это желание, средства и люди.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.