/ IT

Какими утечками данных запомнился ушедший 2018 год?

Самые важные инциденты, связанные с разглашением персональной информации

Большинство утечек данных в мире связано с нарушением правил безопасности сотрудниками компаний, а не с атаками хакеров. Во многих странах утечка, пусть и неумышленная, – это повод для серьезного штрафа. В России же за разглашение конфиденциальной информации пока не наказывают, поэтому многие организации игнорируют даже элементарные правила защиты данных. RSpectr составил список самых важных утечек информации в 2018 году и их последствий для виновников.

У них

1. Организация: индийская государственная идентификационная система AADHAAR.

    Нарушение: 1,2 млрд записей, содержащих персональную информацию о жителях Индии, оказались скомпрометированными.

    Штраф: отсутствует.

    Особенности: самая крупная утечка данных в мире. Ключ от скомпрометированных записей был выставлен на продажу за 8 долларов США.


2. Организация: соцсеть Facebook.

    Нарушение: в 2018 году с соцсетью связаны два больших скандала. В марте выяснилось, что компания Cambridge Analytica, которая создает психологические профили юзеров, получила доступ к информации 87 млн пользователей Facebook. В декабре оказалось, что соцсеть в течение нескольких лет предоставляла доступ к личной информации пользователей третьим лицам (около 150 компаний-партнеров по всему миру). Например, у поисковика Bing был доступ ко всем именам пользователей, а у Amazon – список контактов. Spotify и Netflix могли читать личные сообщения.

    Штраф: отсутствует. Но после первого скандала акции Facebook упали более чем на 9 процентов.

    Особенности: глава Facebook Марк Цукерберг отчитался перед конгрессом США, признал ошибку, связанную с предоставлением информации для Cambridge Analytica, и пообещал, что соцсеть будет бережнее обращаться с персональными данными. Что касается сотрудничества с крупными компаниями, то в Facebook отрицают продажу данных о пользователях. Однако выяснилось, что соцсеть передавала их в рамках партнерства.


3. Организация: агрегатор такси Uber.

    Нарушение: утечка личной информации 57 млн клиентов и водителей, 607 тыс. номеров водительских удостоверений.

    Штраф: американская прокуратура выписала компании штраф 148 млн долларов. Комиссариат по защите информации (ICO) Великобритании наложил на компанию штраф в 385 тыс. фунтов стерлингов, Агентство по защите данных (DDPA) Нидерландов – еще 600 тыс. евро.

    Особенности: Uber скрывал утечку, произошедшую в 2016 году, и выплатил киберпреступникам 100 тыс. долларов, чтобы те удалили украденные данные. Но об инциденте все же стало известно.


4. Организация: консалтинговая компания AggregateIQ (Канада).

    Нарушение: незаконный сбор и обработка данных пользователей социальных сетей с целью проведения таргетированных агитационных кампаний.

    Штраф: регулятор в области защиты информации Великобритании (Information Commissioner's Office) назначил штраф в 17 млн фунтов стерлингов.

    Особенности: первый крупный штраф в рамках нового европейского Регламента по защите персональных данных (General Data Protection Regulation – GDPR). Компания пытается его оспорить.


У нас

5. Организация: Федеральная служба по надзору в сфере образования и науки (Рособрнадзор).

    Нарушение: скомпрометирована база данных о 14 млн бывших студентов.

    Штраф: отсутствует.

    Особенности: самая крупная утечка информации личных данных в России в 2018 году.


6. Организация: Сбербанк.

    Нарушение: публикация в открытом доступе адресной книги сотрудников. В ней содержалось 421,7 тыс. записей о сотрудниках, в том числе их имена, электронные адреса и логины для входа в операционную систему компании.

    Штраф: отсутствует.

    Особенности: в Сбербанке заявили, что опубликованная информация не угрожает клиентам банка и автоматизированным системам. Некоторые эксперты считают, что косвенные риски все же есть, так как неизвестно, какие еще данные были скомпрометированы.

Экспертное мнение

Алексей Парфентьев, 

руководитель отдела аналитики «СёрчИнформ»:

– Ситуация в России с защитой персональных данных хуже, чем за рубежом. Европейские и американские законы гораздо строже в отношении компаний и предусматривают ответственность за неразглашение данных об утечках. Они считают нарушением сам факт наличия уязвимости, то есть возможность использования данных незаконно.

Вступивший в силу в этом году регламент GDPR обязывает компании сообщать об утечке в течение 72 часов. Российский же закон не требует от операторов обработки персональных данных заявлять об инциденте. Добровольно это мало кто делает (только 12% опрошенных компаний).

Жертвы утечек тоже не очень активно заявляют о своих правах, а регулятор работает в основном по обращениям.

Чаще российским компаниям-нарушителям просто выписывают штрафы. Максимальное наказание для юридических лиц – 75 тыс. рублей – предусмотрено за обработку данных субъекта без его письменного согласия. Итоговая сумма выписанных штрафов за прошлый год составила 4 068 500 рублей.

Ситуация, по сути, абсурдная. Организации имеют право запрашивать и использовать документы, но обеспечивают защиту этих данных очень условно. Инструменты есть: существуют автоматизированные современные системы защиты от утечек (DLP), которые берут под контроль любые манипуляции с данными в организациях, а также подозрительную активность сотрудников. Но в России эти программные комплексы часто не применяют из соображений экономии и по причине низкой вероятности наступления наказания за разглашение персональных данных. Стоимость программ составляет миллионы рублей, штраф – десятки тысяч.

Единственная причина, почему компании в этой ситуации принимают меры по защите данных, – это вероятные имиджевые риски, и они с каждым годом нарастают. Технические средства сегодня позволяют эффективно бороться с утечками. Так что единственное, что нужно компаниям, – это желание, средства и люди.

При написании статьи использовались материалы компаний «СёрчИнформ» и InfoWatch.

Изображение: RSpectr, freepik.com


Еще по этой теме:

В Сети появилась база из 773 млн адресов электронной почты

Эксперты: предлагаемые Минкомсвязью штрафы за утечку данных никак не изменят ситуацию на рынке