В конце января «Ведомости» сообщили, что в Интернет попала база программы лояльности сети «Красное и Белое». В документе содержатся записи о 17 млн человек, якобы имеющих карты лояльности этой сети. В базе есть их фамилия, имя, отчество, дата рождения и номер телефона. Спустя неделю telegram-канал «Утечки информации» обратил внимание на то, что данные 90 тыс. клиентов «Ленты» оказались выставлены на продажу на одном из онлайн-форумов. В обнародованной базе содержатся Ф.И.О., номера телефонов и личные идентификаторы покупателей сети в Москве и Подмосковье, написал РБК. «Ведется проверка, о результатах мы сообщим», — ответили на запрос MarketMedia в пресс-службе «Ленты». Проверка ведется и в сети «Красное и Белое».

Юристы отмечают, что если Роскомнадзор установит, что утечки данных произошли из-за преступных действий работников компаний, то они могут быть привлечены к уголовной ответственности (ст. 137 и 272 Уголовного кодекса РФ). А пострадавшие от утечек клиенты компаний могут требовать от них компенсировать причиненный им моральный вред, в том числе путем подачи коллективных исков.

В России не так, как во всем мире
Согласно докладу Verizon, в мире примерно 1/3 утечек данных происходит из-за действий сотрудников компаний и примерно в 2/3 случаев в утечках виновны сторонние лица.



В России, по данным исследовательской компании InfoWatch (принадлежит Наталье и Евгению Касперским), картина иная: почти 3/4 утечек происходят по вине сотрудников компаний. Та же InfoWatch подсчитала, что в 2019 году число сообщений об утечках данных в России выросло на 40%, а в мире — на 10%.



«Глядя на статистику утечек за прошедший год, можно подумать, что Россия — особая страна, коль скоро ее картина утечек так резко отличается от мировой, но в реальности все намного проще, — цитирует ТАСС президента группы компаний InfoWatch, руководителя рабочей группы по информационной безопасности в рамках национального проекта «Цифровая экономика» Наталью Касперскую. — Основная доля мировых утечек обнародуется в англосаксонских странах — в США, Великобритании, Канаде есть специальные законы, которые обязывают компании в случае утечки публиковать факт свершившейся утечки… Понятно, что никто не хочет во всеуслышание заявлять: «Мы не уделяли внимание информационной безопасности», поэтому допустившие утечку компании придумывают внешние угрозы в качестве причины утечки. Вследствие этого внешние злоумышленники занимают в западных публикациях большую долю, чем у нас, а на российские компании не давит необходимость публикации, поэтому статистика российских утечек серьезно отличается от мировой».

По словам старшего юриста Capital Legal Services Глеба Апёнкина, в 2018 году в России 90% утечек конфиденциальной информации случилось в результате внутренних нарушений, самыми уязвимыми стали государственные и муниципальные организации (статистика InfoWatch). «Основной проблемой утечек данных вряд ли можно назвать несанкционированный доступ к информации третьих лиц. Виновником утечек, как правило, выступает сотрудник компании по причине собственной халатности или корыстного интереса. При этом непосредственно системные администраторы компаний являются виновниками в утечках в наименьшем количестве случае — 0,8% от всех утечек в 2018 году в России», — говорит юрист.



Число судебных споров растет
«Однозначно нельзя определить, что чаще другого ведет к утечкам данных из бизнеса: халатность и недобросовестность сотрудников или же уязвимость используемых компаниями IT-систем для хранения этих данных: компании не стремятся рассказывать о причинах утечек, так как это негативно может повлиять на репутацию. И лишь единичные случаи добираются до общественности в результате работы журналистов. Однако мы можем оценить, например, количество судебных споров по различным нарушениям, связанным с данными и информацией. Такие споры крайне немногочисленны, однако их количество в целом возрастает со временем. Сейчас существует тренд на усиление защиты данных, подкрепленный в том числе введением норм о больших и персональных данных, что в теории должно вести к снижению доли утечек по вине работников», — отмечает старший юрист CLAIMS Антон Ендресяк.



Георгий Минасян, директор по безопасности «СёрчИнформ» (разработчик средств информационной безопасности и инструментов для защиты информации»), говорит, что в России, по разным оценкам, в среднем на инциденты по вине сотрудников приходится до 60% всех случаев утечки. «В прошлом году мы опросили более тысячи специалистов по информационной безопасности и топ-менеджеров компаний в России и СНГ, и подавляющее большинство (77%) из них считают внутренние инциденты опаснее внешних», — говорит Георгий Минасян, подчеркивая, что по всем признакам в обеих торговых сетях утечки произошли именно по вине инсайдеров. В «Красном и Белом» это официально подтвердили и начали служебное расследование, в случае «Ленты» на это указывает совокупность признаков: формат, полнота и объем выгрузки данных.

Российское законодательство не предусматривает штрафов непосредственно за утечки данных. Как напоминает Георгий Минасян, сегодня в рамках закона «О персональных данных» (ФЗ-152), за соблюдение которого отвечает Роскомнадзор, проверяется только выполнение организационных мер. То есть при проверках регулятор просматривает положение о политике обработки персональных данных, приказы о назначении ответственных за эту обработку и о проведении работ по категоризации данных в информационной системе. Проверяющие смотрят на наличие формы согласия на обработку персональных данных для клиентов, по каким протоколам эти данные передаются и где хранятся — то есть в России или за рубежом локализованы серверы с базами этих данных. Показательные сведения от IT-систем регулятор часто не снимает: не проверяет данные файервола, логи в AD или настройки оборудования.



И даже если проверка установит нарушения ФЗ-152, ответственность за это для организаций символическая. Например, это могут быть штрафы до 50 тыс. рублей за обработку данных в отсутствие согласия субъекта или другого законного основания, уточняют юристы. «Если организациями («Лента» и «Красное и «Бело». — Ред.) не были предприняты необходимые меры по защите персональных данных, установленные ФЗ «О персональных данных», то им может быть назначено наказание в виде штрафа в размере от 10 тыс. до 15 тыс. рублей», — говорит Дарья Филина, руководитель практики недвижимости бюро юридических стратегий Legal to Business.

«Хотя в прошлом году и ввели миллионные штрафы (речь о нарушении требования о систематизации и хранении информации в базах данных России и штрафах до 6 млн за первое нарушение и до 18 млн за повторное. — Ред.), но наказывают ими не за утечку, а за нарушения в хранении и обработке персональных данных. Так что в целом санкции не мотивируют компании защищать данные», — резюмирует Георгий Минасян.

Конечно, по сравнению с миллионными штрафами в евро, предусмотренными в Европе по GDPR (Генеральный регламент по защите персональных данных. — Ред.), 50 тыс. рублей — это незначительная сумма для крупных компаний, говорит старший юрист Capital Legal Services Вадим Ковалев. Россия подписала в 2018 году протокол к конвенции о защите персональных данных Совета Европы. Ожидается, что протокол будет ратифицирован в этом году и в российское законодательство будет введена обязанность операторов персональных данных уведомлять Роскомнадзор о допущенных утечках персональных данных. Но говорить о каком-либо увеличении размера ответственности компаний, допустивших утечку данных, еще рано.