Государство пытается навести порядок в сфере персональных данных россиян
Законопроект об оборотных штрафах будет наказывать за утечки не хакеров, а бизнес
2022 год стал рекордным по количеству и размеру утечек персональных данных россиян. По данным Роскомнадзора, за неполный год в России произошло 60 крупных инцидентов, содержащих более 230 млн записей с личной информацией граждан. Это больше, чем за три предыдущих года в совокупности: по данным проекта «Сетевые свободы», с 2019 по 2021 г. была выявлена 41 утечка.
Злоумышленники сливали в сеть не только имена, даты рождения, адреса проживания и электронных почтовых ящиков россиян, но и сведения о паспортах, медицинские данные, детали онлайн-заказов, зашифрованные пароли и другую не менее чувствительную информацию. В списке компаний, допустивших утечки в этом году, были операторы связи («Ростелеком», «Билайн» и «Теле2»), онлайн-магазины и службы доставки («Яндекс.Еда», СДЭК), медицинские центры («Гемотест», клиника «Здоровье»), онлайн-кинотеатры и видеохостинги (Start, Yappi), перевозчики («Победа», Utair, AzurAir, РЖД) и др.
В интернете активно публиковались данные и российских компаний, и госструктур. Представитель одной из крупных компаний на рынке кибербезопасности, работающих в том числе и с госсектором, сообщил «Ведомостям», что с начала года в интернете были обнаружены базы данных как минимум 20 российских ведомств, в числе которых были Госдума, ФНС, ГРЧЦ, Минкульт, Роскомнадзор и др. По словам собеседника в другой компании отрасли, количество утечек в госсекторе может быть «в несколько раз выше». Но подсчитать реальное число инцидентов и оценить ущерб от них невероятно сложно.
Утечки этого года примечательны тем, что если раньше злоумышленники, получив базу данных, чаще стремились ее продать, то сейчас выкладывают бесплатно в публичный доступ, чтобы нанести как можно больший ущерб компаниям и пользователям и повысить свой рейтинг в отраслевом сообществе. Один из самых ярких примеров в этом смысле – утечка «Яндекс.Еды», которую превратили в интерактивную карту и в течение всего года обогащали за счет новой информации о пользователях.
При этом государство, очевидно, осознало несостоятельность существующего подхода к защите персональных данных и за последний год предложило несколько громких инициатив. В их числе законопроекты об уголовной ответственности за незаконный оборот персональных данных, о конфискации имущества киберпреступников и, разумеется, об оборотных штрафах за утечки. Последнюю инициативу Минцифры обсуждает с весны, но так до сих пор и не утвердило.
Часть экспертов на рынке разделяет этот подход, считая, что ужесточение наказания приведет к сокращению числа утечек и других киберпреступлений. Но возможно, что законопроект об оборотных штрафах в том виде, в котором его собираются принять, не будет эффективно работать, так как до сих пор не выработан механизм, позволяющий доказать факт утечки.
Сейчас и в корпоративном, и в государственном секторе распространена практика, когда операторы персональных данных выступают с публичным заявлениями о том, что утечки либо не было, либо данные в ней устарели или скомпилированы из открытых источников и других баз. В случае с уголовными преступлениями предусмотрены механизмы доследственной проверки, следственных мероприятий, которые позволяют доказать, был ли факт правонарушения или нет. Но в административном судопроизводстве это невозможно. В связи с этим возникает вопрос: если утечка все же произошла, а оператор заявляет, что это фейк, пытаясь спасти репутацию, как Роскомнадзор будет доказывать обратное?
Возможна и другая ситуация, когда статьей начнут манипулировать, чтобы нанести вред компании: под видом новых утечек злоумышленники могут начать выкладывать в сеть еще большее количество фейковых или скомпилированных баз. То есть хакеры годами смогут выдавать выгрузки из утекших ранее баз, обогащая их новыми данными. При этом у компании не будет полномочий проводить полноценные расследования, например, если в утечке, по ее предположению, виновата третья сторона, с которой она обменивалась данными в рамках рабочего процесса. Кроме того, остается неясным, нужно ли компании уведомлять Роскомнадзор в рамках обновленного ФЗ «О персональных данных», если в сети распространяется информация об утечке, а у компании есть доказательство того, что утечка – фейк?
Один из возможных вариантов решения проблемы, которые называют опрошенные «Ведомостями» эксперты на рынке кибербезопасности, – отдать полномочия проводить такого рода расследования Роскомнадзору. Второй – привлекать для этого независимые компании, но в этом случае не ясно, кто должен быть источником финансирования таких проверок. Третий – не начислять оборотный штраф по умолчанию, если будет установлено, что оператор персональных данных прилагал усилия по защите данных, но утечка все равно произошла. Выберет ли какой-то из этих вариантов Минцифры, пока не ясно, с уверенностью можно сказать только то, что законопроект об оборотных штрафах нуждается в доработке.