Текучка персональных данных
Масштабные утечки – это следствие в том числе слишком толерантного отношения к ним государства
Признанная в четверг Сбербанком утечка данных клиентов – возможно, самая масштабная в России – ставит вопрос об ответственности за обеспечение безопасности клиентов не только самого банка. Такие утечки становятся возможны в том числе потому, что государство не слишком усердствует в борьбе с утечками, поиске и наказании виновных, да и само не всегда должным образом заботится о защите данных граждан.
Как полагает «Коммерсантъ», обнаруживший предложение о продаже пробного пакета, речь может идти о данных более чем с 60 млн кредиток Сбербанка: ФИО, номер карты, место работы владельца, адрес регистрации, контактные данные, остаток средств на счетах. Банк подтвердил факт утечки по кредиткам 200 клиентов, заверив, что похищенная информация не позволяет мошенникам украсть деньги: там нет CVV-кодов карт, логинов и паролей от интернет-банка. Но это слабое утешение: утекших данных может оказаться достаточно для мошеннических звонков клиентам от имени знакомых, родных, банка и проч. Результативность мошенничества при наличии персональных данных возрастает на порядки – злоумышленники разводят даже тех, кто занимается борьбой с ними, подтверждает руководитель аналитического центра Zecurion Владимир Ульянов.
Как полагают в банке, данные утекли в результате преступных действий одного из немногих сотрудников с правами администратора, т. е. данные похитили не внешние хакеры. Но это не самый принципиальный момент. Данные тем или иным образом похищаются потому, что на них есть спрос, и чем больше спрос – тем потенциально больше утечек. Спрос на разнообразные базы с персональными данными есть не только в криминальной среде, но и у легального бизнеса и даже госструктур. «Медуза» писала, что среди клиентов системы мониторинга соцсетей, увязанной с базами госуслуг, налоговой, ГИБДД, паспортных столов, были люди из ФСО, ФСБ, МВД, Минобороны; спросом такие базы, по мнению Ульянова, пользуются и у банков, и у крупных компаний практически всех отраслей. При этом источником данных может быть само государство: в России при довольно высоком уровне IT-безопасности в организациях и банках в госсекторе весьма вольно обращаются с персональными данными, отмечает директор центра IT-исследований и экспертизы РАНХиГС Михаил Брауде-Золотарев. Но наказания можно не бояться: в 2018 г. Роскомнадзор составил всего 30 административных протоколов об утечках данных, максимальный штраф для юрлиц – 50 000 руб.
Клиентам Сбербанка можно только посочувствовать, но это не значит, что те, у кого не было его кредиток, могут считать себя в безопасности. По мере того как все больше данных и услуг становятся цифровыми, расширяется и потенциальная зона поражения: позавчера это были базы мобильных телефонов, вчера – кредиток, завтра – цифровых паспортов.