Спецпроекты

Infowatch: общемировой объем штрафов за утечки персональных данных превысил $300 млн

Безопасность Стратегия безопасности Бизнес Законодательство Мобильность

Аналитический центр Infowatch представил результаты глобального исследования случаев вынесения штрафных санкций государственным и коммерческим организациям за утечки персональных данных (ПД) и платежной информации. Число и объем штрафов за подобные нарушения в мире растут: если в 2017 г. по результатам 39 инцидентов организациями было выплачено около $45 млн, то в 2018 г. регуляторами было вынесено уже 57 штрафов компаниям на общую сумму свыше $320 млн. Таким образом, за год общемировой размер денежных санкций за утечки ПД и финансовой информации увеличился более чем в семь раз, а средний размер штрафа — в пять раз до $5,7 млн.

Если в 2017 г. штрафы за утечки ПД коснулись организаций из восьми государств, то в 2018 г. подобные санкции применялись к компаниям из 11 стран: это Австрия, Бразилия, Великобритания, Германия, Голландия, Испания, Италия, Португалия, Сингапур, США и Франция. При этом большая часть вынесенных в 2017-2018 гг. постановлений о наказании за утечки данных пришлась на компании из США, Великобритании и Сингапура. Строже в этой сфере стали действовать уполномоченные органы Франции — если в 2017 г. они приняли только одно постановление о штрафе, то в 2018 г. подобные взыскания накладывались уже шесть раз.

Напомним, что с 2018 г. в Европейском Союзе вступил в силу закон, устанавливающий принципы и требования к защите персональных данных — General Data Protection Regulation (GDPR). За нарушение прав субъекта, принципов обработки и правил передачи ПД, игнорирование запрета на обработку данных и другие нарушения на компанию налагается штраф в размере 4% от общего годового оборота предприятия или 20 млн евро.

За нарушение порядка уведомления об инциденте, отсутствие сотрудника по защите данных, где это необходимо, незаконную обработку ПД ребенка и прочее, предусмотрены меньшие, однако не менее существенные штрафы — 10 млн евро или 2% от общего годового оборота предприятия.

Первые штрафы за нарушение общеевропейского регламента были зарегистрированы в конце 2018 г. Например, больница «Баррейру и Монтижу» в Португалии была оштрафована на 400 тыс. евро за грубые нарушения при обеспечении доступа к защищенной законом информации.

«Подразумевая серьезную ответственность за несоблюдение правил хранения и обработки персональной информации граждан, GDPR, по сути, устанавливает глобальные стандарты защиты данных, — отметил аналитик ГК Infowatch Андрей Арсентьев. — Действие GDPR будет вести к росту ответственности за нарушения в области обеспечения конфиденциальности защищенной личной информации, поэтому в перспективе серьезные нарушения могут повлечь для крупных компаний миллиардные издержки».

В 2018 г. было вынесено три масштабных взыскания на общую сумму свыше $200 млн. Компания Uber выплатила $148 млн за допущенную в 2016 г. утечку персональных данных более 57 млн клиентов и водителей — этот штраф стал крупнейшим в истории за нарушения в области защиты информации. Компания Yahoo была оштрафована на $50 млн за компрометацию 3 млрд аккаунтов пользователей, которая произошла в 2013-2014 гг. Британскому Tesco Bank был вынесен штраф в размере $20,9 млн за инцидент, связанный со взломом аккаунтов клиентов на сумму $2,9 млн.

Средний размер штрафа за утечку данных в США в 2018 г. составил $23,3 млн — это в восемь раз больше, чем в 2017 г. Без учета мега-штрафа компании Uber средний объем взысканий в США увеличился в четыре раза.

В Великобритании средний чек за утечку информации вырос в 14 раз до $1,69 млн, без учета штрафа в адрес Tesco Bank рост составил 2,5 раза.

В ряде других стран, где были зафиксированы постановления о взыскании за утечку персональных данных, например, в Италии или Испании, размер штрафа увеличился минимум в два раза и в среднем превысил $1 млн.

Среднее наказание компаний за утечку данных в Сингапуре увеличилось на треть и составило около $10 тыс. в 2018 г. Это единственная азиатская страна, где есть устоявшаяся практика финансового воздействия на нарушителей законодательства в области защиты персональных данных.

В России в 2017-2018 гг. сообщений о вынесенных организациям штрафах за утечки данных зафиксировано не было. Напомним, что в 2018 г. Минкомсвязь России разработала законопроект о внесении изменений в Кодекс об административных правонарушениях (КоАП), согласно которому юридическое лицо, допустившее нарушение в области защиты персональных данных, необходимо наказывать штрафом в размере от 10 до 30 тыс. руб.

В отраслевом распределении участились случаи штрафов организациям высокотехнологичного сегмента — в 2018 г. на эту сферу пришлась четверть взысканий за утечки персональных данных. В два раза — до 16% от всех штрафов возросла доля организаций финансовой сферы, были зафиксированы санкции в адрес промышленных и транспортных предприятий (12%), образовательных учреждений (7%). Снизились доли штрафов медицинским (17%) и государственным (7%) организациям.

По словам Андрея Арсентьева, ужесточение нормативной базы в сфере защиты от утечек данных будет способствовать более ответственному подходу организаций к безопасности информационных активов предприятия и защите от внутренних угроз информационной безопасности. Компании продолжат укреплять контур безопасности с помощью внедрения DLP-систем (Data Leak Prevention — предотвращение утечек информации) и технологий предиктивной аналитики, ведь утечки информации по вине внутренних нарушителей становятся все дороже, указал эксперт Infowatch.



Взгляд месяца

Идея внутренней разработки себя не оправдала

Наталия Оржевская

директор центра управления командами, «Диасофт»

Тема месяца

Обзор: ИКТ в госсекторе

Рейтинги CNews

• Топ-100 ИКТ-тендеров для федеральных ведомств • Крупнейшие поставщики • ИКТ-бюджеты регионов