Потеряли страх. Персональные данные россиян сливаются в промышленных масштабах. Компании совершенно не боятся оборотных штрафов
С начала 2024 г. российский бизнес допустил свыше 200 крупных утечек персональных данных россиян. Компании совершенно не торопятся закрывать дыры в своей ИБ-системе, и их совсем не пугают потенциальные миллионные и оборотные штрафы. Они пользуются тем, документ, эти штрафы определяющий, уже почти год лежит без движения в Госдуме.
Киберпреступники, добро пожаловать
Российские компании стали очень активно помогать хакерам в сборе персональных данных россиян. Как пишут «Ведомости», менее чем за год, всего лишь с января 2024 г., они допустили свыше 200 очень крупных утечек столь чувствительной информации. По информации издания, на хакерских сайтах и даже в Telegram-каналах, несмотря на все попытки создателей мессенджера бороться с подобным контентом, было выложено 210 баз с данным клиентов российского бизнеса.
Такую статистику изданию предоставили эксперты российской компании F.A.С.С.T. из сферы информационной безопасности. Согласно этой статистике, компании явно «прокачали» свои навыки по сливу персональных данных в интернет, причем их прогресс в этом поистине гигантский. Для сравнения, за девять месяцев 2023 г. в Сеть было упущено 153 базы данных клиентов российского бизнеса, а это меньше на 37,25%.
Рост во все стороны
Российский бизнес отличился наращиванием не только количеством слитых баз, но и объема информации, в этих базах содержащихся. Утекших данных в 2024 г. стало больше на 7,76%, а это уже около 250,5 млн строк.
Впрочем, есть и плюсы. Ввиду того, что 2024 г. подходит к концу, компании едва ли успеют побить собственный же рекорд утечек, установленный в 2022 г. – тогда их общими усилиями в Сеть попал 1,4 млрд строк.
Но важно подчеркнуть, что наращивать объемы отправляемых в интернет данных своих клиентов компании стали в последние два-три года. Например, в 2023 г. было слито 397 млн строк, тогда как в 2021 г. – лишь 33 млн. Другими словами, за два года объем слива вырос более чем в 10 раз.
Все вышеперечисленное – статистика F.A.C.C.T., но если взглянуть на данные ИБ-компании InfoWatch, то можно понять, что ситуация с информационной безопасностью в российских предприятиях гораздо более плачевная. С 1 января по 30 сентября 2024 г. отечественный бизнес слил в Сеть более 370 баз, насчитывающих в общей сложности около 860 млн записей, приводят «Ведомости» отчет InfoWatch.
Также издание опубликовало предварительную оценку главы департамента расследований T.Hunter Игоря Бедерова. По его словам, за первые девять месяцев 2024 г. могло быть скомпрометировано приблизительно 1,5 млрд строк информации, на 96% состоящих из персональных данных россиян.
Главные виновники
Хуже всех с безопасностью данных дела обстоят у компаний из розничной торговли – именно они, по данным F.A.С.С.T., являются основным источником утечек. Количество публикаций именно их баз данных выросло вдвое – 65 баз с начала 2024 г. против 33 за первые девять месяцев 2023 г.
В F.A.С.С.T. подчеркнули, что в той или иной степени от утечек страдают все отрасли без единого исключения. Второе место по частоте сливов данных после компаний розничной торговли занимают различные медучреждения (17 баз данных в 2024 г.), а замыкают тройку лидеров компании из сферы общественного питания – третье место они делят с различными образовательными платформами (по 11 баз).
Эксперты InfoWatch называют главным источником сливов интернет-магазины и торговые организации – на них приходится 40% утечек. Сфера здравоохранения, в отличие от статистики F.A.С.С.T., в «антилидерах» – лишь 3% утечек с начала 2024 г. произошли по вине компаний из области медицины. Но, возможно, это лишь временно: «Мы считаем, что опасность для ПД пациентов будет нарастать на фоне развития цифровизации и формирования структурированных хранилищ информации в медучреждениях», – сказал «Ведомостям» руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев.
Официальная статистика
Важно отметить, что статистика независимых ИБ-компаний отличается от официальной государственной. Роскомнадзор уверяет, что за период с января по сентябрь 2024 г. включительно в России было зафиксировано лишь 110 случаев утечек персональных данных. И пока частные компании трубят о стремительном росте как количества утечек, так и их объемов, регулятор, наоборот, рапортует о том, что их стало меньше – 110 против 145 за первые девять месяцев 2023 г.
Столь кардинальная разница в статистиках Роскомнадзора и ИБ-компаний может быть связана с методами подсчета. Как пишут Ведомости со ссылкой на представителя регулятора, в официальной статистике Роскомнадзора отражены лишь те утечки, по факту которых ведомство инициировало расследование.
При этом Роскомнадзор тоже фиксирует гигантские объемы самих утечек. Например, в феврале 2024 г. он сообщал о 19 выявленных в январе 2024 г. утечках, в ходе которых в интернет попало более 510 млн строк персональных данных россиян.
Пессимизм или все же реализм
Реальное положение дел вокруг утечек персональных данных может быть еще хуже, поскольку далеко не все киберпреступники спешат похвастаться перед всем миром удачной атакой, обернувшейся кражей личной информации. Об этом «Ведомостям» сообщила младший аналитик департамента Threat Intelligence компании F.A.С.С.T. Дарья Городилова. «В результате реальные объемы утекших данных всегда могут быть больше того, что удалось отследить», – подчеркнула она.
Главный эксперт «Лаборатории Касперского» Сергей Голованов заявил изданию, что вполне стоит ожидать «двукратного роста публикаций данных, утекших в 2023 г. и в начале 2024 г.», ввиду того, что «злоумышленники приберегали эту информацию для оказания давления на компании на фоне потенциального роста штрафов». Отчасти это также может быть связано с тем, что хакеры зачастую вступают в переговоры с компаниями на предмет сохранения краденых сведений в тайне, предполагает Бедеров.
Преступление и наказание
Слив персональных данных в интернет рассматривается действующим российским законодательством как административное правонарушение – перечень ответных санкций приведен в КоАП РФ. Для этого в нем есть отдельная статья 13.11 «Нарушение законодательства Российской Федерации в области персональных данных».
Нынешняя ее редакция предусматривает две градации наказания – за первую и за повторные утечки. За первую утечку физлица заплатят 2-6 тыс. руб., должностные лица – 10-20 тыс. руб., юрлица – 60-100 тыс. руб. Повторная утечка будет стоить им 4-6 тыс. руб., 20-50 тыс. руб. и 100-300 тыс. руб. соответственно.
Ввиду современных реалий, в том числе и 7-процентной инфляции, штрафы за утечку уже не кажутся такими уж большими, тем более, что сам факт утечки еще нужно доказать. Власти решили ужесточить наказание и резко увеличить размер штрафов, но пока что эта инициатива не реализована.
К моменту выхода материала в России существовал законопроект об оборотных штрафах за утечки персональных данных, но он завис в Госдуме. Документ прошел первое чтение еще в конце января 2024 г., то есть почти год назад, и на этом его рассмотрение остановилось.
Законопроект вводит совершено новые критерии оценки степени ущерба и размеры наказания за него.
Утечка 1-10 тыс. субъектов персональных данных и/или от 10 до 100 тыс. уникальных идентификаторов влечет штраф в размере: 100-200 тыс. руб. для физлиц, 0,8-1 млн руб. для должностных лиц и 3-5 млн руб. для юрлиц и, что важно, ИП.
Утечка от 10-100 тыс. субъектов и/или от 100 тыс. до 1 млн идентификаторов будет стоить: 200-300 тыс. руб. (физлица), 1-1,5 млн руб. (должностные лица) или 5-10 млн руб. (юрлица и ИП).
Утечка персональных данных более 100 тыс. потребителей и/или более 1 млн идентификаторов будет стоить: 300-400 тыс. руб. (физлица), 1,5-2 млн руб. (должностные лица) или 10-15 млн руб. (юрлица и ИП).
Штраф за повторную утечку оценивается в: 400-600 тыс. руб. (физлица) и 2-4 млн руб. (должностные лица). Юрлица и ИП получат оборотный штраф в размере от 0,1 до 3% от выручки за календарный год или за часть этого года, но не менее 15 млн и не более 500 млн руб.
Штраф за утечку информации, содержащей специальные категории персональных данных: 300-400 тыс. руб. (физлица), 1,5-2 млн руб. (должностные лица) или 10-15 млн руб. (юрлица и ИП). Перечень специальных категорий персональных данных определен ст. 10 152-ФЗ «О персональных данных» от 27 июля 2006 г. В него входит информация о: расовой, национальной принадлежности; политических взглядах; религиозных или философских убеждениях; состоянии здоровья и интимной жизни.
Дополнительно законопроект предусматривает штраф за повторную утечку информации, содержащей специальные категории персональных данных. Он составит: 500-800 тыс. руб. (физлица) и 3-5 млн руб. (должностные лица). Юрлица и ИП получат оборотный штраф в размере от 0,1 до 3% от выручки за календарный год или за часть этого года, но не менее 20 млн и не более 500 млн руб.
Понять и скостить
По оценке российского Минэкономразвития, размеры штрафов в законопроекте, прошедшем первое чтение, слишком велики. Ведомство решило, что необходимо их скостить, притом кратно.
В середине октября 2024 г. Минэкономразвития подготовило поправки ко второму чтению этого законопроекта. В частности, предложено оценивать утечку 1-10 тыс. лишь в 1,5-2 млн руб. для юрлиц вместо указанных в законопроекте 3-5 млн руб.
Если утечка затронет 10-100 тыс. субъектов, то юрлицам нужно будет заплатить не 5-10 млн руб., а лишь 2-3 млн руб. Если же объем утечки превысит 100 тыс. субъектов, то штраф для юрлиц, по мнению Минэконоразвития, должен составить не 10-15 млн руб., как указано в законопроекте, а всего-навсего 3-5 млн руб.
Из поправок министерства следует, что передача персональных данных россиян третьим лицам будет стоить компаниям значительно, буквально в разы дешевле, если эти поправки будут приняты. При этом Минэконоразвития пока не предлагает отменить оборотные штрафы.
Наряду с перечисленным предложение Минэконоразвития включает перенос ответственности за утечку биометрических и персональных данных специальной категории в в отдельную категорию с отдельными штрафами. Утечка 500-5000 субъектов биометрических и персональных данных будет сулить юрлицам штраф 3-5 млн руб. За утечку 5-50 тыс. субъектов полагается наказание в размере 5-7 млн руб.. Утечка свыше 50 тыс. субъектов персональных данных будет стоить компаниям 7-10 млн руб.
Отдельно Минэконоразвития предложило ввести оборотный штраф за повторные утечки биометрических и персональных данных в размере от 0,1% до 3% от выручки за предшествующий календарный год или капитала банка на дату утечки, но не менее 10 и не более 60 млн руб.
Каких ИБ-решений не хватает в России
После ухода западных вендоров кибербез-продуктов у российских компаний возникло немало проблем. В частности, банки в стране до сих пор страдают от отсутствия качественных отечественных NGFW или межсетевых экранов и балансировщиков нагрузки приложений. Об этом CNews сообщил Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies.
«По сути, проблема возникла со сложными наукоемкими продуктами, которые на стадии разработки требовали серьезных инвестиций, – сказал Денис Кораблев. – До 2014 г., когда тема кибербезопасности в России еще не была геополитизированной, создавать технологию с нуля не имело смысла. Зачем – если ее 10 лет назад в США создали? Тем более что твоя первая версия в любом случае будет сырая. Клиентов ты перейти не убедишь. Поэтому никто в это не вкладывался, да и Россия – это всего 2% от мирового рынка, и если работать только на нее, инвестиции будут в 50 раз меньше».
При этом с базовыми ИБ-продуктами в плане импортозамещения в России ситуация обстоит значительно лучше: это решения для построения SOC, Web Application Firewall, SIEM-системы — их можно найти сразу у нескольких российских вендоров.