Штраф оплатит «дочка»
Как операторы данных будут избегать наказания за утечки
Незрелость бизнес-процессов приводит к потере персональных данных (ПД). Но подобные инциденты не особенно печалят операторов, если утраченная информация напрямую не наносит финансового ущерба, отмечают эксперты. Как помогут оборотные штрафы за утечку ПД привести компании в чувство и какие схемы уклонения от ответственности уже появились – в материале RSpectr.
ВСЕ ТЕЧЕТ, ВСЕ ИСЧИСЛЯЕТСЯ
Минцифры разрабатывает новый вариант законопроекта о штрафах за утечку ПД, которые будут исчисляться в процентах от выручки компаний. За первый случай размер наказания будет фиксированным, при повторном нарушении операторам грозят оборотные штрафы. В министерстве уверены, что для бизнеса они станут более существенным наказанием и заставят вкладываться в защиту данных пользователей.
В потоке новостей об очередной пропаже огромного массива ПД можно заподозрить некоторую манипуляцию, отметили участники конференции «Утечки информации: за что боролись и с чем боремся сейчас?». Это делается, чтобы усыпить бдительность рядовых пользователей, поменять их отношение к сведениям о себе, считает руководитель департамента клиентского сервиса компании «Ростелеком-Солар» Анна Попова. По ее словам,
ущерб от утечки ПД оценить не менее сложно, чем урон от причинения морального вреда, компенсации по которому обычно бывают мизерного размера
При этом никаких точных методик расчета вреда сейчас не существует, добавила она.
Анна Попова, «Ростелеком-Солар»:
– Обычно под «персональными данными» подразумевают ФИО, номер телефона, адрес электронной почты. При должной манипуляции злоумышленник может из подобной информации что-то получить для себя. Но есть и более сложные ПД: финансовая, медицинская информация о человеке. С ними можно нанести существенный вред, но в этом случае суду будет проще дать оценку.
А.Попова поделилась наблюдением о сильной отраслевой принадлежности и оперативности утечек. Например, почти сразу после проведения каких-то действий в банке на человека обрушивается целый поток звонков с предложениями от других кредитных организаций.
Анна Попова, «Ростелеком-Солар»:
– Так быстро и централизованно сливать информацию невозможно. В свое время мы обслуживали банк, клиенты которого постоянно жаловались на попадание данных о себе в открытый доступ. Но никакой зацепки, которая косвенно могла бы свидетельствовать о хищении, не было найдено. Возможно, какие-то уязвимости были зашиты на уровне программного кода.
Это происходило в онлайн-режиме, что дает повод говорить об угрозе из внешнего периметра, добавила она.
ПРОСТЫЕ КАНАЛЫ
Но опасность технических ухищрений злоумышленников преувеличена; как правило, причины многих киберинцидентов достаточно просты, заявил на конференции независимый эксперт Алексей Плешков. В 2018–2020 годах утечки в банковской сфере происходили регулярно из-за того, что изначально был выбран незащищенный протокол взаимодействия с контрагентами: внешними кол-центрами, организациями, занимающимися рассылкой бумажных писем или передающими информацию о клиентах в депозитарные центры.
Алексей Плешков, независимый эксперт:
– Например, существует договор между финансовой организацией и подрядчиком на рассылку реестров с персональными данными. По какой-то причине сделать это по электронной почте невозможно. Тогда их отправляют через мессенджеры в виде файлов. Взломать или скопировать их не составляет большого труда.
Как правило, для защиты сведений финансовые организации и контрагенты используют системы «Банк – Клиент»*, специализированные файлообменники и чаты, в которых нет строгой модерации и администрирования. Сотрудник остается в них после увольнения и может похитить информацию, просто скопировав ее.
К сожалению, обращает внимание А.Плешков,
банки не могут гарантировать высокий уровень информбезопасности у своих контрагентов, потому что они не влияют на правила использования средств защиты при обработке ПД у своих партнеров
Как бы то ни было, для клиента не имеет значения, где были утрачены сведения о нем, заметил директор по безопасности компании Redmond Иван Бируля. По его словам, бороться с подобными инцидентами крайне тяжело, потому что у любой проблемы с информбезопасностью есть конкретное имя, а в даркнете висят объявления о поиске сотрудников ИБ-отделов в конкретных организациях.
«ШТРАФБАТ» ПРИКРОЕТ
По мнению руководителя направления InfoWatch Traffic Monitor Александра Клевцова, наказание рублем в зависимости от размера дохода компании позитивно скажется на защите ПД. В этом поле успешно действует Регламент по защите данных (General Data Protection Regulation, GDPR) Евросоюза, определяющий порядок обработки ПД и грозящий штрафами размером в миллионы евро.
Александр Клевцов, InfoWatch Traffic Monitor:
– Структуры заинтересованы в защите ПД, когда есть их прямая связь с бизнес-процессами. Например, банк стремится скрыть данные своих клиентов по ипотеке, боясь, что они уйдут к конкурентам и это негативно отразится на финансовых показателях.
С другой стороны, существуют структуры, которые не понесут денежного или репутационного ущерба в случае утечки. Например, компании, предоставляющие услуги мобильной связи, или сервисы доставки не беспокоятся об утечках сведений своих пользователей, так как подобные инциденты совершенно не вредят их бизнесу. Именно в таких случаях должны применяться оборотные штрафы, подчеркнул А.Клевцов.
При всей заманчивости эта идея не исправит ситуацию с конфиденциальностью личной информацией россиян, считает представитель «Ростелеком-Солар».
Анна Попова, «Ростелеком-Солар»:
– Огромные организации – операторы ПД не видят репутационных рисков в утечках сведений, а штрафы для них становятся лишними расходами. Если стратегически потеря данных клиентов ничего для компании не значит, она не будет их защищать.
При этом существует лазейка, с помощью которой крупные компании смогут избегать ответственности, отметил директор по стратегии компании «Безопасность 360» Игорь Елисеев.
Игорь Елисеев, «Безопасность 360»:
– Если новые поправки будут приняты, то крупные концерны станут создавать дочерние предприятия, специализирующиеся на обработке ПД. Естественно, финансовые показатели подобных организаций будут микроскопическими по сравнению с материнской компанией, а размер штрафа – несущественным.
Эта схема ведет свои корни из системы агентских договоров, пояснил А.Плешков. По его словам, такая практика применяется, например, между финансовыми и страховыми организациями.
Он полагает, что
если цель – оказание сервиса – материнской и дочерней организации совпадают, то в случае возникновения утечки ПД ответственность за нее будут нести обе структуры
Если весь функционал по оказанию сервиса для физического лица – субъекта ПД передается «дочке», тогда юридически приходит и ответственность, подчеркнул эксперт.
Но в целом пока не ясно, насколько действенными окажутся эти схемы, констатировали эксперты.
* ПО, позволяющее совершать операции по банковскому счету, отправлять документы и сведения в отделение банка дистанционно, через интернет.
Изображение: RSpectr, Adobe Stock, Freepik