С начала 2022 года в РФ было зафиксировано около 60 крупных утечек персональных данных.
Об этом в ходе пресс-конференции в ТАСС сообщил и. о. директора Института конкурентной политики и регулирования рынков НИУ ВШЭ, партнер Коллегии адвокатов «Муранов, Черняков и партнеры» Олег Москвитин. По его словам, в результате этих 60 крупных утечек в открытом доступе оказались более 230 млн записей с персональными данными россиян:
«Из-за таких утечек наши граждане сталкиваются с очень неприятными последствиями: это и вторжение в частную жизнь; это и различные мошеннические схемы с дальнейшим использованием персональных данных, которые утекли».
Сейчас по уровню безопасности персональных данных Россия занимает 28-е место среди других 160 стран мира. Возглавляют рейтинг кибербезопасности, как уточнил Олег Москвитин, такие небольшие страны, как Греция и Бельгия, а такие крупнейшие государства, как США и Великобритания, занимают 21-е и 22-е места; сразу за Россией с ее 28-м местом идет Сингапур.
Еще один участник пресс-конференции – юрист Коллегии адвокатов «Муранов, Черняков и партнеры» Алим Березгов привел конкретные примеры наиболее крупных утечек в РФ в 2022 году: так, в июле логистическая компания сообщила об утечке персональных данных миллионов клиентов; в том же июле известный сервис доставки еды был привлечен к ответственности за незаконное распространение персональных данных; в октябре ретейлер, управляющий сетью магазинов бытовой техники и электроники, обнаружил утечку персональных данных клиентов и сотрудников сети своих магазинов.
И эти случаи, по словам Олега Москвитина, не носят единичный характер:
«У нас есть пример, как более 300 гигабайт персональных данных организации, которая занимается медицинскими анализами, попали в сеть, после чего были возбуждены аж 3 уголовных дела Следственным комитетом РФ. То есть таких случаев достаточно много».
Во многом большое количество утечек персональных данных в РФ объясняется незначительными суммами штрафов для юридических лиц, которые предусмотрены действующим законодательством за эти нарушения: так, за первое нарушение ответственность устанавливается в виде штрафа в размере от 60 тыс. до 100 тыс. рублей; за повторное нарушение предусмотрены штрафы от 100 тыс. до 300 тыс. рублей.
«То есть суммы смешные по сравнению с последствиями этих нарушений. Любая крупная компания может заложить в свой бюджет эти суммы штрафов и идти дальше. Эти штрафы никаким образом не пугают крупные компании, которые обрабатывают большие массивы персональных данных. Для сравнения можно посмотреть на зарубежную практику по ответственности за утечки персональных данных: например, ирландская компания по защите персональных данных (DPC) оштрафовала американскую компанию Twitter (запрещенную в РФ) на 450 тыс. евро в связи с недостаточно быстрым (не уведомили в течение 72 часов) раскрытием информации об утечке данных. В истории наиболее крупный штраф в размере 204,6 млн евро был наложен управляющим комиссаром по информации Великобритании на компанию «Бритиш Аэрвейс» за утечку 420 тыс. записей персональных данных ее пассажиров и работников. Этот инцидент произошел из-за слабой системы защиты информации, на которую была совершена хакерская атака», – сообщил Алим Березгов.
Как отметил Олег Москвитин, несмотря на то, что российское законодательство в области защиты персональных данных постоянно совершенствуется, в РФ остается проблема маленьких штрафов, которые не соответствуют тяжести совершаемых преступлений и не мотивируют бизнес к существенным инвестициям в защиту персональных данных.
Сергей Ишков.
Фото «Московской правды»
Тут решение должно быть комплексное. Необходимо, конечно, усилить ответственность как похитителей, так и хранителей данных. А с другой стороны снизить стоимость этих данных, например усложнив их использование для получения незаконной выгоды.
Личные данные – это такое дело. Один раз дал паспортные данные, и все, уже по сети ходят они, как хотят, и попробуй останови.