Объем штрафов за утечки персональных данных увеличился в 20 раз с 2021 года

Сумма штрафов за утечки персональных данных, которую постановили взыскать российские суды, в 2023 г. выросла в 23 раза по сравнению с показателями 2021 г. и в 2 раза по сравнению с 2022 г., следует из комментариев представителя Роскомнадзора.

«В 2023 г. суды уже рассмотрели 87 составленных Роскомнадзором протоколов по факту утечек персональных данных и назначили штрафы на общую сумму более 4,6 млн руб. В 2022 г. Роскомнадзор составил и направил в суд 66 протоколов об административных правонарушениях, сумма штрафов составила более 2,4 млн руб.», – сообщил «Ведомостям» представитель Роскомнадзора. А два года назад, по итогам 2021 г., Роскомнадзор составил только четыре протокола по таким нарушениям, а сумма штрафов по ним составила около 200 000 руб., отметил собеседник.

Действующее законодательство подразумевает, что только Роскомнадзор составляет протоколы об утечках персональных данных, на основании которых суды вправе принять решение о штрафе для оператора этих данных, отмечает руководитель направления «Разрешение IT & IP споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле.

Рост суммы штрафов связан с повышенным вниманием к проблеме утечек, а также с тем, что в последние годы увеличилось число утечек, незаконной коммерциализации персональных данных, объясняет юрист. По его словам, в силу своей деятельности Роскомнадзор вправе принимать решения о проверках на предмет утечек в результате мониторинга интернет-ресурсов.

Опрошенные «Ведомостями» эксперты считают, что утечек персональных данных было даже больше, чем протоколов, составленных Роскомнадзором.

«С января по октябрь 2023 г. в публичный доступ попали данные более чем 330 российских организаций», – сообщил «Ведомостям» Александр Вураско, эксперт центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» со ссылкой на данные центра. Он добавил, что общий объем опубликованных данных составил 103,4 ТБ и 4,8 млрд строк данных, среди них более 200 млн телефонных номеров и 142 млн адресов электронной почты.

«На начало декабря этого года произошло уже более 200 утечек. Их объем пока нельзя оценить точно, но, вероятнее всего, он составит не менее 300 млн строк уникальных клиентских данных», – говорит основатель сервиса разведки утечек данных DLBI Ашот Оганесян. По оценке DLBI, в 2021 г. произошло более 260 утечек, в ходе которых в руки злоумышленников попало почти 110 млн строк уникальных клиентских данных. «При этом в 2022 г. произошло около 85 значимых утечек (около 160 всего), однако объем их вырос и составил уже более 185 млн строк уникальных клиентских данных», – добавил эксперт.

Ключевым фактором роста прошлого года стала деятельность украинских «хактивистов», «которые активно ломали любые российские ресурсы», считает Оганесян. По его оценке, российские информационные системы оказались недостаточно защищены от взломов. В результате если в 2021 г. доля инсайдеров и взломщиков в объеме утечек была примерно 60% на 40%, то с 2022 г. и по сей день доля взломов составляет 75–80%, отметил собеседник.

«Основной причиной роста количества утечек стало изменение мотивации атакующих. Если раньше основным мотивом являлось извлечение материальной выгоды, то теперь мотивация сместилась в сторону «хактивизма» – желания навредить российской экономике во что бы то ни стало», – согласен Вураско. По его словам, в преступный бизнес оказалось вовлечено огромное количество «идеологически замотивированных людей», соответственно, вырос перечень потенциальных целей для взломов. «Поэтому те организации, которые еще два года назад были неинтересны злоумышленникам, сегодня являются привлекательными целями для атак», – отметил Вураско. Например, за последний год эксперты фиксировали случаи взломов сайтов детских садов, музыкальных школ и прочих учреждений, атаки на которые в другой обстановке, до спецоперации, не имели бы смысла, говорит Вураско. Еще одной причиной роста числа атак стало появление в открытом доступе инструментов, облегчающих взлом информационных систем, добавил он.

Количество атак на российские компании, по комплексной оценке, увеличилось в 4 раза с начала 2022 г., добавил руководитель отдела аналитики «Серчинформа» Алексей Парфентьев. В то же время, отмечает он, персональные данные «активнее утекают» потому, что их становится больше. «Сейчас все коммерческие и государственные структуры активно наращивают цифровизацию, количество сервисов, количество одних только онлайн-госсервисов для граждан исчисляется сотнями», – резюмировал эксперт.