Криминализация и другие меры – о методах борьбы с утечками ПД

В среду ТАСС со ссылкой на Роскомнадзор сообщил об утечке 230 миллионов «записей с личной информацией» граждан РФ и о 60 тысячах крупных утечек персональных данных (ПД), произошедших в России с начала года.

Термин «запись с личной информацией» означает, судя по контексту, «запись (строка) базы данных, содержащей чувствительные сведения, которые могут быть соотнесены с конкретным гражданином». Если так, то «230 миллионов» – даже заниженная оценка.

Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян (его Telegram-канал «Утечки информации» имеет более 100 тысяч подписчиков) сообщил D-Russia.ru статистику зафиксированных крупных утечек ПД из отечественных компаний с февраля по август 2022, с пояснением: «После начала СВО украинцы стали сливать похищенные ПД»):

  • СДЭК – 161,7 миллиона строк;
  • «Яндекс.Еда» – 49,4 миллиона строк;
  • «Деливери Клаб» – 1 миллиона строк;
  • «Гемотест» – 30,5 миллиона строк;
  • Tele2 – 7,5 миллиона строк;
  • Туту.ру – 2,6 миллиона строк;
  • Старт.ру – 43,9 миллиона строк.

За последние пять лет собранная DLBI коллекция уникальных пар логин-пароль для попавших в открытый доступ учётных записей пользователей различных онлайн-сервисов достигла семи миллиардов экземпляров. Эта величина глобальная. Сведений о том, сколько «учёток» относятся к России, нет. Однако составить представление о порядке цифр это помогает: примерно одна пара «логин-пароль» на каждого человека на планете.

Россия – страна с высоким уровнем проникновения Интернета и невысокой ценой доступа к нему – исключением быть не может. Пользователей, пострадавших от утечек, в РФ много больше, чем тех, кто умудрился сохранить свои данные в неприкосновенности.

Вопрос о том, что государству следует противопоставить принявшим неприличные размеры утечкам, приобрёл практическое значение, стал безотлагательным.

Роскомнадзор обращает внимание на то, что в стране действует мораторий на проверки компаний – контролёр может прийти на предприятие только в исключительном случае. Для IT-компаний проверки запрещены вообще. Проверки как инструмент госконтроля деятельности операторов ПД, следовательно, невозможны.

В июле принят закон № 266-ФЗ, который усилил требования к операторам по обработке ПД, ввёл обязанность информировать уполномоченные ведомства об инцидентах с принадлежащими операторам ПД базами персональных данных, установил экстерриториальность положений закона в части защиты ПД российских граждан. Цель закона – защитить права граждан при взаимодействии с легальными операторами ПД.

Регулированием легальных операторов ПД дело ограничиваться не может. Следует поставить вне закона чёрный рынок ПД. Следующий шаг – криминализировать действия как тех, кто крадёт ПД, так и тех, кто ими торгует или использует для совершения преступлений, например, мошенничества.

Уголовная ответственность за такие деяния оправдана тяжестью последствий краж ПД. Из похищенных ПД составляются «цифровые портреты» граждан, которые преступники применяют для буллинга и диффамации. Иных способов причинить вред людям, чьи ПД оказались в руках злоумышленников, – множество.

См. также: Об уголовной ответственности за утечки ПД >>>

Ответственность компаний и сотрудников, допускающих утечки, может быть по-прежнему административной, однако она должна быть усилена. Штрафы следует существенно увеличить – в настоящее время штрафы даже за крупные утечки ПД не превышают 60 тысяч рублей. Эти меры уже предлагались на заседании Общественного совета при Роскомнадзоре в августе.

В дополнение к закону № 266-ФЗ в настоящее время разрабатывается законопроект, согласно которому размер штрафа за утечку ПД будет зависеть от выручки компаний, сообщает ТАСС со ссылкой на Роскомнадзор.

Размер штрафа помимо прочего должен обуславливаться тем, как оператор организовал свою деятельность при обработке ПД: направил ли уведомление регулятору о такой деятельности, сообщил ли своевременно об утечке в уполномоченные органы, как реагировал на жалобы и претензии граждан, какие меры принял для снижения ущерба лиц, пострадавших от утечки.

Ещё одним способом противостоять утечкам может стать ужесточение требований к организациям, которым разрешено работать с большими массивами ПД. Таким правом следует наделить только тех, кто способен подтвердить надёжность защиты ПД, возможность обеспечить контроль доступа к ПД и гарантировать адекватный уровень защиты прав граждан на доступ к их персональным данным.

Ещё метод усилить защиту ПД — операторы ПД прежде, чем начать обрабатывать значительные массивы данных, должны будут подтвердить соответствующим органам соблюдение необходимых требований. Если такие требования организация соблюсти не может, ей следует обратиться к тем, кто обладает соответствующими компетенциями, отдав обработку ПД на аутсорсинг.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: