В глобальном масштабе государственным и коммерческим организациям в 2019 году выписали штрафов и требований о компенсациях за утечки пользовательских данных на $6,224 млрд, сообщается в мартовском исследовании экспертно-аналитического центра InfoWatch. Годом раньше — всего $320 млн, то есть почти в 20 раз меньше.
С чем же связана такая ошеломительная динамика?
На самом деле, учитывая, что в 2019 году львиную долю от всех штрафов составило наказание Facebook, впечатляющая сумма оказывается несколько обманчивой. Социальную сеть обязали выплатить в общей сложности $5 млрд за допущенную в 2018 году утечку персональных данных более 87 млн пользователей.
Тем не менее даже без учета этого кейса средний размер штрафа компаниям вырос в два раза и составил $11,44 млн (2019) против $5,72 млн (2018).
Всего эксперты InfoWatch обнаружили 108 штрафов и решений по выплате компенсаций, которые регуляторы в 23 странах вынесли в отношении организаций, допустивших утечки персональных и платежных данных. Это почти на 90% больше, чем в 2018-м (57 штрафов в 11 странах). Мировыми лидерами по числу взысканий стали США (26,8%), Сингапур (25,9%) и Соединенное Королевство Великобритании и Северной Ирландии (6,5%).
Чаще всего в 2019 году надзорные органы штрафовали за утечки медицинские учреждения, высокотехнологичные компании, ритейл, гостиницы и предприятия общественного питания. На них пришлась ровно половина штрафов.
Компания Facebook заплатит $5 млрд за утечку персональных данных более 87 млн пользователей. Такое решение вынесла Федеральная торговая комиссия (FTC) США. Расследование FTC началось весной 2018 года, когда стало известно, что данными десятков миллионов пользователей Facebook незаконно завладела консалтинговая компания Cambridge Analytica. Она использовала информацию подписчиков соцсети для разработки алгоритма анализа политических предпочтений избирателей.
Бюро кредитных историй Equifax предстоит выплатить $700 млн за утечку, допущенную в 2017 году. Тогда хакерам удалось взломать базу компании и похитить данные 147 млн клиентов. Не вся сумма является штрафом. Как минимум $300 млн Equifax выплатит в качестве компенсаций клиентам.
Британский информационный регулятор ICO намерен оштрафовать авиакомпанию British Airways на 183,4 млн фунтов стерлингов ($230 млн). Перевозчику предстоит ответить за допущенную в 2018 году утечку платежных данных более полумиллиона пассажиров. Надзорный орган в своем решении будет руководствоваться нормами европейского регламента по защите персональных данных (GDPR).
Также ICO планирует взыскать 99 млн фунтов ($123 млн) с компании Marriott, у которой хакеры похитили 339 млн записей с данными о постояльцах отелей (скорее всего, многие файлы дублируют информацию о клиентах, останавливавшихся в гостиницах сети по нескольку раз). Если апелляция Marriott будет отклонена, штраф составит примерно 3% годового оборота гостиничной сети.
Американская сеть ресторанов быстрого питания Wendy’s выплатит $50 млн по иску группы банков. Wendy’s согласилась урегулировать претензии по результатам нарушений, случившихся в 2015–2016 годах. Хакеры тогда установили вредоносное ПО во многих торговых терминалах. Атаки на платежную инфраструктуру привели к утечкам информации банковских карт клиентов более 1 тыс. ресторанов.
Ситуация в России
В открытых источниках аналитики InfoWatch нашли сообщения о шести штрафах в России, вынесенных компаниям именно за утечки персональных данных граждан на общую сумму 180,5 тыс. рублей. Наказания получили две микрофинансовые организации, поликлиника, институт, ритуальное агентство и отделение «Почты России».
В частности, в ноябре 2019 года оштрафовали на 70 тыс. рублей пермских коллекторов — за разглашение персональных данных должника. Выяснилось, что работники коллекторской фирмы «Финпротект» звонили родственникам и начальству должника банка, рассказывали о его финансовых проблемах и пытались оказать давление, сообщает деловая газета «Business Class».
Мировой суд Мурманска в феврале 2019 года по представлению областного управления Роскомнадзора оштрафовал городскую поликлинику № 2 за нарушение федерального закона № 152-ФЗ «О персональных данных». Выяснилось, что сотрудники поликлиники выбросили на помойку диспансерные карты с данными пациентов. Сумма штрафа составила 25 тыс. рублей, пишет «РИА Новости».
В целом же Роскомнадзор в прошлом году вынес 215 протоколов за различные нарушения правил обработки персональных данных и оштрафовал компании на 1,099 млн рублей. Однако подробной статистики ведомство не раскрывает.
Как защититься от утечек
В 2019 году у финансовых организаций по всему миру было украдено более 1 млрд конфиденциальных записей, что в 27 раз превышает объем данных, похищенных в 2018 году, сообщали аналитики InfoWatch в феврале.
Большая часть утечек случилась в ходе трех крупных инцидентов. Речь, в частности, идет о случае в мае прошлого года, когда в результате неверной настройки сервера американской страховой компании First American Financial Corp. были скомпрометированы 885 млн записей с персональными данными ипотечных заемщиков.
Руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников рассказал «Известиям», что крупные компании уделяют безопасному хранению данных гораздо больше внимания.
«К сожалению, небольшие компании часто ограничены в ресурсах для обеспечения должной защиты персональных данных, иногда не соблюдаются даже простые правила цифровой гигиены. При этом киберпреступники зачастую используют автоматические программы и алгоритмы, позволяющие определить уязвимость, взломать ресурс и украсть информацию», — отметил Наместников.
По его словам, максимально снизить риск утечек позволяют современные подходы к киберзащите, наличие политики безопасности, разграничение прав доступа, логирование действий сотрудников и их регулярное обучение, аудит безопасности и другие меры.
Эксперт посоветовал компаниям использовать легальное программное обеспечение, регулярно его обновлять, на все устройства установить защитные решения. Также не оставлять на оборудовании, например роутере, настройки по умолчанию, отслеживать политику доступа и закрывать его для бывших сотрудников. Представитель «Лаборатории Касперского» призвал следить, чтобы каждый пользователь регулярно менял пароли и не делился ими ни с кем.
Нарушение положений европейского регламента GDPR грозит штрафом в размере до 4% годового оборота компании, что может больно ударить даже по самому устойчивому и крупному бизнесу.
Но российское законодательство в области защиты персональных данных до недавнего времени в целом было достаточно мягким и не предусматривало серьезного финансового воздействия на компанию-нарушителя.
Однако положение начало меняться. Так, в декабре 2019 года президент России Владимир Путин подписал закон, предусматривающий введение крупных штрафов за невыполнение требований о хранении персональных данных на территории России. Для юридических лиц штраф составит до 6 млн рублей, а при повторном нарушении до 18 млн рублей.
Аналитики InfoWatch прогнозируют в перспективе ужесточение ответственности и за другие нарушения в сфере защиты персональных данных, в том числе за допущенные утечки информации.
Пока же административные штрафы за нарушение прав пользователя на персональные данные не превышают 75 тыс. рублей (ст. 13.11 КоАП РФ). Это не создает финансовых стимулов для операторов принимать меры по соблюдению законодательства о персональных данных, рассказала «Известиям» директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ), преподаватель Moscow Digital School Александра Орехович.
— Проблема российского законодательства в том, что оно не может учитывать степень развития информатизации общества и экономики. По сути закон, регулирующий оборот персональных данных, всё еще «заточен» на бумагу», — добавила эксперт.
В свою очередь кандидат юридических наук, заместитель председателя комиссии по правовому обеспечению цифровой экономики МО «Ассоциации юристов России», доцент факультета права НИУ ВШЭ Александр Савельев заявил «Известиям», что в России гражданин, скорее всего, ничего не сможет доказать в суде и получить компенсацию за нарушение его прав на персональные данные, в том числе при утечке его данных, поскольку в стране нет адекватных механизмов защиты таких прав.
— Проблема российского законодательства о персональных данных в том, что «новое вино» в виде множества ситуаций и рисков, порождаемых цифровизацией, не укладывается в «старые мехи» аналогового законодательства, усиленного формально-бюрократическим подходом к его толкованию и применению, — заключил юрист.
Иван Носатов