57% утечек персональных данных в России и СНГ скрываются. Юристы считают, что ситуация кардинально не улучшится, пока в России не повысят штрафы за утечки и не заставят компании выплачивать компенсации в пользу пострадавших.
В 2020 году 58% российских компаний хотя бы раз сталкивались с попыткой слива информации, выяснили в «СёрчИнформ». В частных организациях треть таких инцидентов была направлена именно на компрометацию персональных данных пользователей. В компаниях госсектора — 40%.
Также исследователи отмечают, что число организаций, сталкивающихся с утечками, год от года остается практически неизменным. В 2019 году 59% российских компаний сообщили, что сталкивались с попытками слива информации. «СёрчИнформ» связывает это постоянство с медленным оснащением организаций программным обеспечением, служащим для предотвращения и выявления сливов и утечек. Текущего темпа достаточно, чтобы процент не рос, но недостаточно для его снижения.
При этом далеко не все случаи утечек и сливов становятся достоянием общественности. В среднем 57% инцидентов в России и СНГ остаются в тени — о них не сообщается пострадавшим, журналистам и регуляторам. Организации из госсектора сознаются в допущенных ошибках охотнее, чем частные компании: в первых скрывают 41% случаев против 60% у вторых.
Аналитики подчеркивают, что, несмотря на всё еще высокий процент замалчивания, доля таких случаев год от года снижается. Например, в 2019 году компании скрывали 63% утечек и сливов, а в 2017-м — 86%.
Статистика исследования основана на результате опроса начальников и сотрудников ИБ-подразделений, экспертов отрасли и руководителей организаций из коммерческой (71,5%), государственной (26,5%) и некоммерческой сфер (2%). Работа затронула сферы IT, нефтегазового сектора, промышленности, транспорта, кредитно-финансовой отрасли, ритейла, здравоохранения и др. Анкетирование проводилось в городах России и СНГ.
Новая законность
В «СёрчИнформ» полагают, что общественный резонанс служит не только инструментом давления на компании, но и подстегивает законодательные процессы.
Рассуждая о том, какими должны быть эти новые законы, председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев заявил, что новые нормы, направленные на защиту конфиденциальности граждан, обязаны наказывать компании рублем. По примеру Евросоюза и американского штата Калифорния, которые, по мнению эксперта, являются законодателями моды в обеспечении защиты данных.
В Калифорнии действует закон о защите конфиденциальности потребителей (CCPA), который, как отмечает юрист, подразумевает штрафы для компаний, допустивших утечку, в размере до $7,5 тыс. и компенсацию каждому пострадавшему в размере до $750. В свою очередь, Андрей Арсентьев в качестве примера правильного подхода привел европейский общий регламент по защите данных (GDPR). Он обязывает компании уведомить регулирующие органы об инциденте в течение 72 часов. В противном случае может быть взыскан штраф в размере до €20 млн, или 4% от годового оборота фирмы.
— На Западе компании в целом довольно трепетно относятся к поддержке лояльности клиентов. Всё больше потребителей относят безопасность компаний к числу важнейших факторов. Согласно зарубежным исследованиям, 65% потребителей теряют доверие к компании, допустившей утечку. А 80% клиентов готовы уйти, если их данные окажутся скомпрометированы в результате инцидента, — сообщил Арсентьев.
В России, указывает Журавлев, из наказаний предусмотрен только штраф в размере 75 тыс. рублей, прописанный в КОАП. Причем эти средства идут не пострадавшим, а в госбюджет. Впрочем, считает эксперт, первые шаги на пути улучшения ситуации в стране уже сделаны.
— Подписанный президентом в конце декабря закон от 30.12.2020 № 519-ФЗ «О внесении изменений в федеральный закон «О персональных данных»» даст россиянам право требовать полного или частичного удаления персональных данных и возможность узнать, какие третьи лица получат от оператора доступ к ним, — подчеркнул Александр Журавлев.
При этом он считает, что необходимо как можно быстрее поднять суммы штрафов и создать «институты компенсаций». А также ввести независимый контроль за хранением и обработкой данных и используемых для этого алгоритмов по примеру европейских коллег.