В последнее время персональные данные клиентов все чаще оказываются в свободном доступе и попадают в руки третьих лиц. Только за первый квартал 2023 года объем персональных данных граждан, незаконно попавших в сеть, превысил 118 млн уникальных записей. Это в 2,3 раза выше, чем за аналогичный период прошлого года, когда российская IT-инфраструктура впервые столкнулась с массовыми кибератаками. Разбираемся, почему так происходит и какие меры принимаются на госуровне для борьбы за сохранение персональных данных граждан.
Текст: Алена Печур
Фото: Семен Лиходеев/ТАСС
Политика конфиденциальности и персональные данные
Специалисты компании «Б-152», проанализировав политики конфиденциальности 324 банков (224 с универсальной лицензией, 100 – с базовой), пришли к выводу, что около 55% российских банков не учитывают требований Федерального закона № 152-ФЗ «О персональных данных» (ПД) в пользовательских соглашениях. В первую очередь речь идет об указании конкретных целей сбора и обработки данных (например, информирование об услугах банка или принятие решений о выдаче кредита), которые банки должны прописывать с 1 сентября 2022 г.
Даже если кредитная организация составляет и публикует пользовательское соглашение, то на практике оно оказывается путаным, объемным и сложным для понимания простого человека.
«Сколько данных фактически собирается и то, что декларируется в политике, часто не совпадает. В законе как буквально написано? Что оператор должен опубликовать у себя политику на сайте. При этом там не написано, какая информация в этой политике должна быть. Есть только методические рекомендации Роскомнадзора, которые он сам признает не очень обязательными», — отметил Владимир Ожерельев, руководитель практики интеллектуальной собственности юридической фирмы DRC.
Тексты некоторых политик конфиденциальности по количеству знаков соответствуют объему книги – более 180 000 знаков, что не позволяет клиентам банка ознакомиться с содержанием и понять, каким образом их данные обрабатываются и кому они передаются, пояснили в «Б-152».
«Львиная доля политик конфиденциальности — это выдержки из закона о персональных данных. Из них часто нельзя узнать, в каких целях обрабатываются персональные данные. В среднем на чтение политик уходит 14 минут. А есть политики в 180 тыс. знаков — это практически книга. Естественно, человек не будет читать, а компании там могут спрятать информацию, что мы вот эти данные обрабатываем. А то, что вы не читали, сами виноваты», — прокомментировал результаты исследования основатель «Б-152» Максим Лагутин.
Фото: Андрей Гордеев/ ТАСС
Утечка персональных данных: человеческий фактор или халатность
Политика конфиденциальности фактически является показателем и гарантией ответственности организации за персональные данные клиента. В случае ее формального составления риск того, что личная информация гражданина может быть использована третьими лицами, возрастает.
Только за первый квартал 2023 года объем персональных данных граждан, незаконно попавших в сеть, превысил 118 млн уникальных записей. Это в 2,3 раза выше, чем за аналогичный период прошлого года, когда российская IT-инфраструктура впервые столкнулась с массированными кибератаками. С начала 2023 года Роскомнадзор составил 122 протокола по административным делам об утечках персональных данных. Судами по итогам их рассмотрения назначены штрафы на сумму около 3,7 млн рублей.
Что касается причин роста случаев утечки персональных данных, то мнения экспертов тут разнятся.
Так, в сервисе мониторинга даркнета DLBI полагают, что инциденты утечек подтверждают нарастающую опасность IT-аутсорсинга в части кибербезопасности.
«Анализ показывает, что компании, передающие обработку данных подрядчикам или доверяющие им управление инфраструктурой, часто оказываются хуже защищены», — прокомментировали в DLBI.
В центре противодействия кибератакам Solar JSOC «РТК-Солар» рост кибератак через подрядчиков и цепочки поставок подтвердили. Так, по словам директора по развитию бизнеса компании Алексея Павлова, чаще всего целями злоумышленников становятся именно поставщики IT- и ИБ-услуг, которые имеют широкий доступ к инфраструктуре клиентов: «И если крупные IT- и ИБ-компании контролируют собственную безопасность, то у небольших подрядчиков уровень защиты может быть на низком уровне».
Управляющий директор «Лаборатории Касперского» в России и странах СНГ Анна Кулашова. Фото: Сергей Петров/ТАСС
Управляющий директор «Лаборатории Касперского» в России и странах СНГ Анна Кулашова назвала главными причинами утечек данных внешние уязвимости и человеческий фактор.
«Мы регулярно проводим исследования и, по нашим данным, это [причина утечек] эксплуатация внешних уязвимостей и человеческий фактор. Причем последний стоит рассматривать довольно широко. То есть, изначально такая атака может пройти через фишинг или вредоносное письмо. Даже невзирая на то, что крупные организации проводят большие мероприятия по обучению сотрудников кибергигиене, наверное, пока это основной источник проникновения в компании», – пояснила Кулашова.
Наказание рублем или персональная ответственность
С точки зрения политолога Алины Жестовской, переломить ситуацию поможет только введение обязательного лицензирования сотрудников, которые работают с персональными данными.
«Персданные, как показывает печальный опыт всех граждан России (перманентно находящихся под ковровыми бомбардировками call-центров) у нас вообще охраняются только лозунгами и причитаниями. Переломить ситуацию поможет лицензирование сотрудников, имеющих доступ к персональным данным граждан — когда каждая девочка из салона сотовой связи или тетенька из налоговой будут осознавать свою личную ответственность за слив», — уверена Жестовская.
Меры по усилению кибербезопасности принимаются и на государственном уровне. Так, уже 4 декабря в Госдуму будет внесен законопроект об оборотных штрафах за утечку персональных данных. Поправки вносятся в КоАП РФ (до 15 млн рублей за утечку персональных данных, при повторном правонарушении предлагается установить оборотный штраф в размере до 500 млн рублей), а также в УК РФ.
Проект также вводит штрафы за утечку биометрических персональных данных: гражданам грозит штраф до 500 тыс. рублей, должностным лицам – до 3 млн рублей, а юридическим лиц – до 20 млн рублей.
В настоящее время максимальный размер штрафа для юридических лиц за утечку персональных данных составляет до 100 тыс. рублей, а при повторном совершении административного правонарушения – до 300 тысяч рублей.
Председатель комитета по информационной политике, информационным технологиям и связи Госдумы РФ Александр Хинштейн. Фото: пресс-служба Госдумы РФ/ТАСС
«Член Совета по правам человека при президенте РФ Игорь Ашманов считает, что «только рублем мы можем стимулировать бизнес защищать национальные данные», наши позиции с ним в этом вопросе едины», – заявил председатель комитета ГД по информационной политике Александр Хинштейн.
Ранее российские компании, входящие в Ассоциацию больших данных (АБД), разработали концепцию отраслевого стандарта защиты данных, которая определит методики совершенствования системы информационной безопасности, а также подходы к хранению и сбору данных. В документе предложены десятки критериев надежной системы защиты данных, подробно описан процесс независимого аудита для IT-компаний на соответствие стандарту. Если по итогам проверки оценка окажется ниже рекомендованной, компании будут работать над повышением эффективности своих систем безопасности. Это необходимо, чтобы поддерживать единый уровень защиты данных во всей отрасли.