Защита персональных данных - более заезженной темы из области информационной безопасности в России, наверное, нет. Однако все эти годы с момента выхода 152-ФЗ (Федеральный закон «О персональных данных» вступил в силу 26 января 2006 года - прим. ред.) мы занимались, по сути, не защитой персональных данных, а, скорее, защитой от регулятора.
Сегодня реальные риски могут спровоцировать бизнес на изменения. Это, во-первых, изменение подхода к регулированию: здесь мы традиционно следуем за Западом, где практикуются наказания не за формальное невыполнение требований, а за реальные утечки. Так, в Европе в 2018 году планируют ввести штраф за утечку, в том числе персональных данных, возникшую в результате невыполнения требований регуляторов, в размере до 4% от глобального оборота компании. Мы, вероятно, с небольшим отставанием, но будем двигаться в ту же сторону.
Зарождается практика судебной защиты прав субъектов: пока таких процессов немного, но эта тема активно популяризируется, грамотность растет. Мы ожидаем появления коллективных исков, более грамотной защиты прав потерпевших и т. д.
Наконец, российские предприятия ожидает реальный финансовый и репутационный ущерб от потери данных клиентов. Один из самых нашумевших случаев за рубежом касался сайта анонимных знакомств для женатых людей Ashley Madison, всю базу данных которого выложили в Интернет. Репутационный ущерб для его клиентов был колоссальным. Это привело к краху успешного до этого бизнеса. В российской практике был такой случай: в конце 2014 - начале 2015 года, в сложный для нашей экономики период, начались массовые рассылки SMS-сообщений якобы от банков, с предупреждением о прекращении обслуживании депозитов. По неофициальным данным, эта, по сути, очень дешевая в реализации атака привела к выводу из банков сумм, измеряющихся миллиардами рублей.