Какими утечками данных запомнился ушедший 2018 год?
Самые важные инциденты, связанные с разглашением персональной информации
Большинство утечек данных в мире связано с нарушением правил безопасности сотрудниками компаний, а не с атаками хакеров. Во многих странах утечка, пусть и неумышленная, – это повод для серьезного штрафа. В России же за разглашение конфиденциальной информации пока не наказывают, поэтому многие организации игнорируют даже элементарные правила защиты данных. RSpectr составил список самых важных утечек информации в 2018 году и их последствий для виновников.
У них
1. Организация: индийская государственная идентификационная система AADHAAR.
Нарушение: 1,2 млрд записей, содержащих персональную информацию о жителях Индии, оказались скомпрометированными.
Штраф: отсутствует.
Особенности: самая крупная утечка данных в мире. Ключ от скомпрометированных записей был выставлен на продажу за 8 долларов США.
2. Организация: соцсеть Facebook.
Нарушение: в 2018 году с соцсетью связаны два больших скандала. В марте выяснилось, что компания Cambridge Analytica, которая создает психологические профили юзеров, получила доступ к информации 87 млн пользователей Facebook. В декабре оказалось, что соцсеть в течение нескольких лет предоставляла доступ к личной информации пользователей третьим лицам (около 150 компаний-партнеров по всему миру). Например, у поисковика Bing был доступ ко всем именам пользователей, а у Amazon – список контактов. Spotify и Netflix могли читать личные сообщения.
Штраф: отсутствует. Но после первого скандала акции Facebook упали более чем на 9 процентов.
Особенности: глава Facebook Марк Цукерберг отчитался перед конгрессом США, признал ошибку, связанную с предоставлением информации для Cambridge Analytica, и пообещал, что соцсеть будет бережнее обращаться с персональными данными. Что касается сотрудничества с крупными компаниями, то в Facebook отрицают продажу данных о пользователях. Однако выяснилось, что соцсеть передавала их в рамках партнерства.
3. Организация: агрегатор такси Uber.
Нарушение: утечка личной информации 57 млн клиентов и водителей, 607 тыс. номеров водительских удостоверений.
Штраф: американская прокуратура выписала компании штраф 148 млн долларов. Комиссариат по защите информации (ICO) Великобритании наложил на компанию штраф в 385 тыс. фунтов стерлингов, Агентство по защите данных (DDPA) Нидерландов – еще 600 тыс. евро.
Особенности: Uber скрывал утечку, произошедшую в 2016 году, и выплатил киберпреступникам 100 тыс. долларов, чтобы те удалили украденные данные. Но об инциденте все же стало известно.
4. Организация: консалтинговая компания AggregateIQ (Канада).
Нарушение: незаконный сбор и обработка данных пользователей социальных сетей с целью проведения таргетированных агитационных кампаний.
Штраф: регулятор в области защиты информации Великобритании (Information Commissioner’s Office) назначил штраф в 17 млн фунтов стерлингов.
Особенности: первый крупный штраф в рамках нового европейского Регламента по защите персональных данных (General Data Protection Regulation – GDPR). Компания пытается его оспорить.
У нас
5. Организация: Федеральная служба по надзору в сфере образования и науки (Рособрнадзор).
Нарушение: скомпрометирована база данных о 14 млн бывших студентов.
Штраф: отсутствует.
Особенности: самая крупная утечка информации личных данных в России в 2018 году.
6. Организация: Сбербанк.
Нарушение: публикация в открытом доступе адресной книги сотрудников. В ней содержалось 421,7 тыс. записей о сотрудниках, в том числе их имена, электронные адреса и логины для входа в операционную систему компании.
Штраф: отсутствует.
Особенности: в Сбербанке заявили, что опубликованная информация не угрожает клиентам банка и автоматизированным системам. Некоторые эксперты считают, что косвенные риски все же есть, так как неизвестно, какие еще данные были скомпрометированы.
Экспертное мнение
Алексей Парфентьев,
руководитель отдела аналитики «СёрчИнформ»:
– Ситуация в России с защитой персональных данных хуже, чем за рубежом. Европейские и американские законы гораздо строже в отношении компаний и предусматривают ответственность за неразглашение данных об утечках. Они считают нарушением сам факт наличия уязвимости, то есть возможность использования данных незаконно.
Вступивший в силу в этом году регламент GDPR обязывает компании сообщать об утечке в течение 72 часов. Российский же закон не требует от операторов обработки персональных данных заявлять об инциденте. Добровольно это мало кто делает (только 12% опрошенных компаний).
Жертвы утечек тоже не очень активно заявляют о своих правах, а регулятор работает в основном по обращениям.
Чаще российским компаниям-нарушителям просто выписывают штрафы. Максимальное наказание для юридических лиц – 75 тыс. рублей – предусмотрено за обработку данных субъекта без его письменного согласия. Итоговая сумма выписанных штрафов за прошлый год составила 4 068 500 рублей.
Ситуация, по сути, абсурдная. Организации имеют право запрашивать и использовать документы, но обеспечивают защиту этих данных очень условно. Инструменты есть: существуют автоматизированные современные системы защиты от утечек (DLP), которые берут под контроль любые манипуляции с данными в организациях, а также подозрительную активность сотрудников. Но в России эти программные комплексы часто не применяют из соображений экономии и по причине низкой вероятности наступления наказания за разглашение персональных данных. Стоимость программ составляет миллионы рублей, штраф – десятки тысяч.
Единственная причина, почему компании в этой ситуации принимают меры по защите данных, – это вероятные имиджевые риски, и они с каждым годом нарастают. Технические средства сегодня позволяют эффективно бороться с утечками. Так что единственное, что нужно компаниям, – это желание, средства и люди.
При написании статьи использовались материалы компаний «СёрчИнформ» и InfoWatch.
Изображение: RSpectr, freepik.com
Еще по этой теме:
В Сети появилась база из 773 млн адресов электронной почты
Эксперты: предлагаемые Минкомсвязью штрафы за утечку данных никак не изменят ситуацию на рынке