Роскомнадзор составил протокол на «Ростелеком» за утечки данных

Но пока максимальный штраф для компании вряд ли превысит 100 000 рублей
Роскомнадзор и «Ростелеком» встретятся в суде / Максим Стулов / Ведомости

О составлении протокола по итогам проверки «Ростелекома» сообщил «Ведомостям» представитель Роскомнадзора (РКН). По итогам проверки служба выявила нарушения законодательства в сфере оборота персональных данных (ПД) клиентов, отметил собеседник. «Роскомнадзор составил и передал в суд административный протокол по ч. 1 ст. 13.11 КоАПа», – сообщил он. Когда именно был составлен протокол и в какой именно судебный участок он направлен, представитель РКН не уточнил.

В пресс-службе «Ростелекома» не стали комментировать информацию о протоколе.

С начала 2022 г. РКН направил более 10 протоколов о нарушениях по ст. 13.11 КоАПа в отношении различных компаний в судебный участок № 422 по Таганскому району Москвы, следует из картотеки судебных дел. В числе ответчиков – WhatsApp, Zoom, Ookla и др. Данных по протоколу в отношении «Ростелекома» за последнее время в картотеке нет. Органы Таганского райсуда пока не получали протокол РКН в отношении «Ростелекома», отметила представитель суда.

В начале июня Telegram-канал «Утечки информации» сообщил о слитых в интернет данных внутренних аккаунтов сотрудников «Ростелекома». По этим данным, база насчитывала свыше 109 000 строк с ФИО, адресами электронной почты (на домене rt.ru и его поддоменах), должностями, телефонами, логинами и другими данными. Вскоре компания сообщила, что проводит внутреннее расследование на причастность к инциденту одного из бывших сотрудников, который в декабре 2021 г. скопировал часть внутреннего справочника.

Спустя два дня тот же Telegram-канал сообщал об утечке данных клиентов сервиса «Умный дом» «Ростелекома». В утекших файлах было свыше 710 000 строк (ФИО, адреса электронной почты, телефоны, хешированные пароли, IP-адреса, даты регистрации и последней активности).

«Чаще всего, когда сообщается о строках в похищенных базах данных, соотношение к количеству пользователей [сервиса] составляет 1:1», – поясняет руководитель отдела исследования киберпреступности Threat Intelligence Group-IB Олег Деров.

«Компания приняла срочные меры, чтобы инцидент не сказался на оказании услуг клиентам и их интересы не пострадали. Приняты решения по исключению подобных инцидентов в будущем», – сообщил «Ведомостям» представитель «Ростелекома». Деталей по утечкам он не привел, но заявил, что оператор имел дело с серией негативных публикаций, «направленных на компрометацию компании». «Пароли личных кабинетов или иная информация, достаточная для доступа к пользовательским данным, надежно защищены и не содержатся в опубликованных файлах», – утверждает он.

Утечки в последнее время происходили и с данными других компаний – Delivery Club, «Яндекс.Еды» и др., обращает внимание технический директор АО «Синклит» Лука Сафонов. Вероятно, вина компании состояла в том, что она предоставила чересчур широкий доступ к данным сотруднику, который впоследствии и слил данные, считает он. По мнению эксперта, можно ограничить объем данных, к которым сотрудник может получить одномоментный доступ, чтобы ему требовалось несколько лет работы для сбора данных о 100 000 сотрудников или клиентов. «Но даже в этом случае компания может сделать так, что запросы к этим данным не останутся незамеченными», – отметил Сафонов.

Он не исключил, что подобные инциденты могут произойти и в будущем с данными любой компании. «Но тренды угроз все же приводят к тому, что компании уделяют все больше внимания информационной безопасности», – добавил Сафонов. Он отметил, что этому будет способствовать и разрабатываемый сегодня закон об усилении ответственности компаний за утечки данных.

Действующее законодательство прописывает ответственность за все виды нарушений в области ПД только в ст. 13.11 КоАПа, обращает внимание партнер адвокатского бюро «Юрлов и партнеры» Глеб Ситников. Часть 1 этой статьи предусматривает наиболее широкий состав, поэтому по ней к ответственности привлекают наиболее часто, говорит он. «Специальной ответственности за утечку не предусмотрено, и сами утечки – не самый частый вид нарушения», – отметил юрист. Пока максимальная ответственность по однократному нарушению – это 100 000 руб., по повторному – до 300 000 руб., напомнил Ситников. Но на рассмотрении законодателей сейчас находится законопроект об усилении ответственности компаний за утечки, напомнил юрист.

Речь идет о введении оборотных штрафов в 1% за утечки ПД. Сейчас Минцифры обсуждает различные версии законопроекта, в том числе те, которые не предполагают оборотного штрафа за первую утечку, а также предполагают послабления для компаний за содействие в расследовании инцидента. Планируется, что законопроект будет внесен в осеннюю сессию Госдумы.

«Привлечение операторов ПД к административной ответственности в последнее время все больше распространяется», – отмечает управляющий партнер юридической фирмы «Вестсайд» Сергей Водолагин. По некоторым составам преступления размер штрафов может доходить до 18 млн руб., сказал он. «Данная сфера является достаточно технической, поэтому избежать ответственности можно путем внедрения предусмотренных законодательством правил защиты ПД», – резюмировал он.