Персональные данные в открытом доступе как главный риск для бизнеса
Осенью в российских СМИ появилась информация о массовой утечке персональных данных у двух крупных российских компаний. Так, в открытый доступ попала база данных 9 млн клиентов одного из крупнейших российских операторов связи, а также персональные данные более 200 клиентов финансового института. Сегодня киберугрозы приобретают совсем иные масштабы и захватывают различные области бизнеса и личные данные частных лиц. Однако защитить себя возможно.
Ранее подобные инциденты затрагивали небольшие сегменты данных, в своих официальных сообщениях компании ссылались на то, что утекшие данные клиентов неактуальны и реальной угрозы такая утечка не представляет. Однако любые попытки оправдать утечки в настоящее время уже бессмысленны. С учетом того, что по состоянию на 2017 год количество клиентов сотового оператора, по данным из открытых источников, составляло 57 млн человек в России и 240 млн по всему миру, цифра в 9 млн человек выглядит достаточно весомо. Согласно исследованию McAfee 2019 года, Россия является мировым лидером в области кибератак. Речь идет не только о краже персональных данных на территории России, но и о влиянии на мировое сообщество, где отмечается как мастерство российских хакеров, так и презрительное отношение к западным нормам о защите персональных данных и к правоохранительным органам.
Обращаясь к опыту Запада, стоит отметить, что подобные случаи кражи конфиденциальной информации злоумышленниками сопровождаются прозрачностью информации для клиентов и защитой интересов пострадавших через страховые выплаты по полису киберрисков. Для финансовой и персональной безопасности выстроена система, которой в нашей отечественной практике пока что не существует.
То, что ответственность в России за утечку персональных данных недостаточна, публично отмечали председатель Центробанка Эльвира Набиуллина и глава Сбербанка Герман Греф. Банк России уже занимается мониторингом кибербезопасности. Центру мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) за первое полугодие 2019 года удалось выявить 13 тыс. объявлений о продаже и покупке персональных данных. В Госдуме уже обсуждается проект закона об ужесточении ответственности за утечку и нарушение хранения персональных данных. Планируется, что организаторы распространения информации в Интернете (социальные сети, мессенджеры, операторы электронной почты, иные веб-сайты, предоставляющие возможность обмена сообщениями) за повторное неуведомление о нарушении конфиденциальности будут наказываться штрафом в размере от 500 тыс. до 1 млн рублей. За повторное нарушение правил хранения и предоставления правоохранительным органам информации об обмене сообщениями в Интернете штраф составит от 2 млн до 6 млн рублей. Аналогичный штраф будет при повторном непредоставлении ФСБ ключей шифрования сообщений.
Сравним размер штрафов за утечку и нарушение хранения персональных данных со штрафами на Западе. Там, согласно исследованию Ponemon Institute и IBM, можно выделить следующие тенденции:
- в среднем размер штрафа за нарушение или утечку составляет 3,92 млн за один инцидент;
- единица персональной информации в среднем стоит 150 долларов;
- выше всего штрафы в США: в среднем — 8,19 млн долларов;
- самым дорогостоящим сегментом персональных данных является здравоохранение (штраф составляет 6,45 млн долларов в среднем по индустрии).
В настоящее время деятельность киберпреступности обходится компаниям в 600 млрд долларов в год по сравнению с 445 млрд в 2014 году, отмечается в барометре рисков Allianz. Это сопоставимо с десятилетней экономической потерей от природных катастроф. Преступники используют более инновационные методы для кражи данных, а утечкам персональных данных подвержены не только банки и операторы, но и коммерческие компании — утечки происходят через интернет-магазины, операторов обработки персональных данных и облачные платформы. Другим драйвером роста в ближайшие годы могут стать динамично развивающиеся провайдеры услуг, такие как сервисы заказа такси, каршеринги и другие, ведь последовательная автоматизация процессов и переход большинства сервисов в онлайн так или иначе потребуют адекватной защиты от возможных технических сбоев.
Читайте также: Ваша карта бита. Так ли страшны утечки данных, как о них говорят
Нарушение конфиденциальности данных или сбои в системах приводят к возникновению крупных выплат от посредников, поскольку затронутые клиенты или акционеры компаний стремятся компенсировать собственные убытки.
В настоящее время в России страхование киберрисков проходит лишь первые этапы развития. Однако, учитывая тот факт, что российское законодательство в области цифровой экономики и ответственности за персональные данные развивается с учетом западной практики, можно смело предположить, что уже через несколько лет в России появится возможность страховать штрафы в рамках договора страхования киберрисков, а это, в свою очередь, даст новый виток развития этому виду. Пока же полис покрывает расходы на добровольное уведомление пострадавших, расходы на привлечение специалистов по кибербезопасности и форензик, ущерб пострадавшим от раскрытия или утечки, а также перерыв в деятельности из-за киберинцидента.
Автор: Вадим Михневич