Данные утекают. Что делать?

С начала 2022 года в открытый доступ попало не менее 40 баз данных россиян. Весной и летом произошли крупные утечки у «Яндекс.Еды», Delivery Club, Ozon, СДЭК (дважды),  Почты России, «Гемотеста» и «Ростелекома» и других.

На днях утекла база у онлайн-кинотеатра «Старт». В базе оказались сведения о почти 44 млн человек.

В 2022 году их число возросло (правда, в марте, возможно, из-за утечки у «Яндекса»). 

По подсчётам Group-IB, в 2022 году количество утечек растёт каждый месяц. В мае и начале июня в даркнете появилось рекордное количество баз данных российских компаний — более 50. Ещё апреле их было 32, а в марте и вовсе — «всего» 16.

Во-первых, число киберугроз возросло после 24 февраля. 

Во-вторых, персональные данные пользователей, как правило, плохо защищены. Например, имеет место разрушение ИТ-инфраструктуры малого бизнеса, для поддержки которой активно использовались западные сервисы или в принципе – наличие уязвимостей. Кроме того, если говорить о сервисах доставки еды, то они не относятся к категории критической инфраструктуры, финансовой или медицинской деятельности, и закон не обязывает их защищать сведения сильнее, чем в других отраслях.

В-третьих, наказания за них минимальны. Так, сервис «Яндекс.Еда» за утечку был оштрафован на минимальную сумму в 60 000 рублей. Такое же взыскание получил и «Гемотест». Delivery Club оштрафовали на 80 тыс.

В ст. 13.11 КоАП РФ установлен штраф от 60 000 до 100 000 рублей. Но даже 100 000 — не очень много. Так, за за отказ от локализации данных в России действуют миллионные штрафы, отмечают наши юристы.

Ну, например, в этом году американский оператор связи T-Mobile выплатит 350 млн долл. по мировому соглашению за утечку 1 млн учётных записей и PIN-кодов. Кроме того, компания потратит 150 млн долл. «на безопасность данных и сопутствующие технологии».

Во Франции Google в 2019 году оштрафовали на 50 млн евро по GDPR за неправильное использование персональных данных (из-за чего владельцы Android не могли принять информированное решение) и отсутствие достаточного правового обоснования для персонализированной рекламы.

В Великобритания в 2020 году British Airways получила штраф в 20 млн. фунтов стерлингов за невыполнение обязательств по обеспечению безопасности персональных данных (ПД): были скомпрометированы данные около 429 тыс. клиентов и сотрудников авиаперевозчика.

В Норвегии в 2021 году национальный регулятор оштрафовал на 10 млн. евро владельцев приложения для знакомств Grindr за отсутствие уведомления о фактически существующей передаче ПД третьим лицам.

Но дело, конечно, не только в наказании. 

В первую очередь в профилактике. В том, как, например, работает законодательство в области персональных данных. Эксперты РКС и сторонние эксперты часто говорят об этом, например, на нашей площадке Privacy Day. Так, они отмечают следующие проблемы:

• на практике закон о персональных данных распространяется на бизнес, а на государство — фактически нет. 

• Роскомнадзор, в отличие от европейских регуляторов, не является независимым органом, который мог бы в полной мере контролировать защиту ПД («регуляторы просто отсутствуют как явление»);

• сбор данных не происходит осознанно: часто непонятно, зачем нужны эти данные, сколько их нужно, кто их собирает, кто отвечает за их сохранность и т.д.;

•  нет инструментов реализации закона о ПД, соответствующей культуры в обществе и надзора над его исполнением.

Помимо этого существует противоречие между защитой и удобством. Особенно ярко видно это на примере с биометрией, сбор которой иногда активно начинает продвигать государство. Да, возможно, вход на сервисы «по лицу» быстрее и удобнее иных видов идентификации, но удобство это идёт в счёт понижения уровня безопасности, поскольку в случае утечки свои биометрические данные не поменяешь.

Кроме того, возможно, следует больше уделять внимания приватности  и разработчикам — на стадии создания сервисов, подход принятый в ЕС (Privacy by design).

В июле президент подписал документ о поправках в закон «О персональных данных», согласно которым операторы должны будет оперативно информировать об утечках ПД уполномоченные органы власти. Кроме того, все  операторы должны будут подключиться к системе обнаружения кибератак (ГосСОПКА). Поправки также предлагают запретить избыточный сбор данных. 

В Минцифры разработали законопроект об оборотных штрафах за утечки в виде процента от прибыли компании. Документ будет готов в сентябре, обещает ведомство. Кроме того, министерство хочет ввести ответственность для компаний за неуведомление об утечках.

В какой-то мере возможно. Запрет избыточного сбора данных – это хорошо (в ЕС обработка ПД уже ограничена по времени, они собираются с определённой целью и хранятся определённое время). Но ряд других положений в меньшей степени направлены на ликвидацию причин и предотвращение самих таких ситуаций, отмечают эксперты. Наши юристы тоже сомневаются, может ли оповещение об утечках в госорганы уменьшить число этих самых утечек. Также они опасаются, что просто станет больше отчётности. 

Впрочем, говорят эксперты, есть вероятность, что высокие штрафы простимулируют операторов ПД  вкладываться как в инфраструктуру, то есть в техническую защиту информации (на что и рассчитывает Минцифры), так и в организационно-правовые меры по защите ПД. Хотя вот на обязательство о подключении к ГосСОПКА отрасль уже отреагировала отрицательно: это приведёт к финансовым и административным издержкам для бизнеса. Дополнительных административных издержек и системы учёта и распределения компенсаций потребует и создание фонда. 

Например,

1) ужесточить ответственность для виновных в утечке, включая допустивших её чиновников и госорганы;

2) наладить работу судов по взысканию морального вреда пострадавшим от утечки;

3) повысить качества аудита защиты ПД в части проверки соотношения объёма и вида обрабатываемых ПД с целью обработки.;

4) кратно повысить штрафы для компаний;

❗К слову, мы пытаемся изменить размер штрафов за утечки персональных данных. Следите за нашим делом против «Яндекс.Еды»!

Во-первых, по возможности, минимально оставлять где-либо свои персональные данные. Полезные правовые рекомендации читайте здесь, здесь, здесь и в целом — в нашем юридическом телеграм-канале Roskomsvoboda. Legal talk. Также помните, что без вашего согласия любые ваши персданные (от ФИО до биометрии) собирать нельзя, а уже собранные данные вы можете отозвать. Шаблон отзыва тут. 

Во-вторых, используйте расширение для браузера ToSDR. Оно оценивает безопасность сайта по его политике конфиденциальности, сокращает пользовательские соглашения до тезисов и оценивает безопасность по пятибалльной шкале. С помощью расширения может так проверить любой интересующий сайт.

В-третьих, используйте уникальные адреса электронных почт и пароли. Это не обезопасит от утечек, но уникальные адреса электронных почт позволят понимать источник утечки, а уникальные пароли — не беспокоиться о том, что после слива в одном месте угонят аккаунты ещё в десяти.

Наконец, прокачивайте комплексную безопасность вместе с нашим сервисом «Секьюрно». Там есть, к примеру, полезный блок «Защита аккаунта в Госуслугах».

Скрывать не обязательно, но защищать — да. Зачем оберегать персональные данные, читайте в наших предыдущих карточках, почему важна приватность — на сайте нашего проекта Safe.