Роскомнадзор начал расследование масштабной утечки данных автомобилистов Москвы

Роскомнадзор направил запросы тем организациям, которые могут содержать оказавшуюся у злоумышленников базу автовладельцев, сообщил «Ведомостям» представитель ведомства. В частности, запрос был направлен в Российский союз автостраховщиков. В организации «Ведомостям» не ответили на вопрос о получении запроса регулятора.

В пятницу о том, что в даркнете появилась масштабная база автомобилистов Москвы, сообщил «Коммерсантъ». По информации издания, в базе из 50 млн строк содержались имена, даты рождения, номера телефонов, VIN-коды и номера машин, их марки и модели, а также год постановки на учет. Сам продавец сообщил газете, что получил информацию от инсайдера в ГИБДД.

«Ведомости» направили запрос в МВД, которое курирует деятельность ГИБДД.

«Роскомнадзор устанавливает обстоятельства компрометации персональных данных. В частности, направили запросы в организации, в которых могут находиться массивы информации в таких объемах, в том числе в Российский союз автостраховщиков», – сообщил «Ведомостям» представитель Роскомнадзора. Он уточнил, что в своем запросе ведомство попросило подтвердить достоверность данных, их актуальность, а также происходил ли несанкционированный доступ к этим данным в системах.

В Российском союзе автостраховщиков «Ведомостям» сообщили, что располагают не всеми данными, о которых шла речь в публикации. «В частности, отсутствуют номера телефонов, данные о годе постановки на учет», – уточнил представитель союза, не став отвечать на вопрос, получила ли организация запрос от Роскомнадзора.

Как рассказали опрошенные «Ведомостями» юристы, если по итогам этого расследования выяснится, что персональные данные оказались в распоряжении злоумышленников из-за ошибок их сбора или хранения, то виновный будет привлечен к административной ответственности.

Действия нарушителя будут квалифицированы как халатность, наказание за которую предусматривает статья 13.11 КоАПа, отмечает юрист Олег Блинов, преподаватель Moscow Digital School.

В этом случае статья предусматривает штраф до 20 000 руб. для должностных лиц и до 100 000 руб. – для юридических, добавляет адвокат Дмитрий Кириллов, член комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России.

Если же будет доказано, что действовал инсайдер, который умышленно передал данные граждан злоумышленникам, то его будут привлекать уже к уголовной ответственности, говорят юристы. В таком случае наказание может быть свыше семи лет лишения свободы, утверждает Кириллов.

Он пояснил, что, как правило, речь идет о нарушении ст. 137 и 138 Уголовного кодекса (УК) РФ, которые защищают неприкосновенность частной жизни, тайну переписки, телефонных переговоров и других сообщений того или иного человека. В этом случае нарушителю будет грозить до четырех лет лишения свободы. Но еще больший срок, пять лет заключения, инсайдер может получить уже по другой статье – 272-я УК РФ «Неправомерный доступ к компьютерной информации». А если в дополнение к этому выяснится, что при преступлении он использовал специальный софт, то ответственность может вырасти уже до 7,5 года лишения свободы.

«Аналитики проекта Data Leakage & Breach Intelligence насчитали в публикациях за 2020 г. порядка сотни случаев привлечения к уголовной ответственности за незаконную торговлю персональными данными», – заключил адвокат.

По данным этой компании, занимающейся расследованиями утечек и мониторингом даркнета на предмет слитых баз данных, чаще всего за продажу персональных данных привлекаются к ответственности сотрудники сотовых операторов, которые продают налево данные о звонках и сообщениях абонентов. Компания связывает это с низким уровнем зарплат сотрудников салонов связи и с низким уровнем конспирации при продаже данных. В то же время на третьем месте после операторов связи и банков по количеству привлеченных к ответственности оказались сотрудники госорганов, продававшие персональные данные граждан, к которым имели доступ по своему служебному положению.

Один из наиболее известных случаев, когда за кражу персональных данных нарушитель получил реальный срок, произошел осенью прошлого года, когда суд в Подмосковье приговорил почти к трем годам колонии-поселения бывшего сотрудника Сбербанка Сергея Зеленина, обязав его также выплатить порядка 26 млн руб. компенсации банку за ущерб деловой репутации. В 2019 г. Зеленин, занимая руководящую должность в московском подразделении «Сбера», выгрузил из внутренних систем банка данные порядка 5000 его клиентов, отмечал РБК. В дальнейшем база данных владельцев карт Сбербанка оказалась на одном из теневых форумов в интернете, сообщал «Коммерсантъ».