Утечки данных в прошедшем году сохраняли свою стабильность и оставались одной из главных киберугроз. Власти приняли решение об объявлении крестового похода против этого явления. После случаев утечки данных в нескольких крупных компаниях и сервисах, включая “Яндекс.Еду”, Delivery Club, СДЭК и “Сберспасибо”, Роскомнадзор в октябре 2023 года подтвердил утечку персональных данных почти 1 миллиона клиентов МТС Банка.

С июля по наступление зимы бизнес готовился к внесению изменений в КоАП, предусматривающих введение оборотных штрафов за утечку персональных данных. В июле этот документ был направлен на рассмотрение в Правительство с участием сенаторов Андрея Турчака, Ирины Рукавишниковой и депутата Александра Хинштейна. Он предусматривал наложение штрафов не только за факт утечки личной информации, но и за “действия или бездействия оператора персональных данных, приведшие к неправомерной передаче включающей персональные данные информации“. Сумма штрафа за первую утечку предполагалась фиксированной, тогда как повторная утечка уже зависела бы от оборота компании.

Это была не первая попытка ввести оборотные штрафы. К обсуждению введения таких штрафов пришли ещё весной 2022 года. К тому времени Минцифры планировали определить понятие утечки и предусмотреть смягчающие обстоятельства для компаний, которые приняли все необходимые меры для защиты информации своих клиентов. В частности, предлагалась возможность добровольной аккредитации компаний по критериям информационной безопасности. Весной этого года регулятор предложил учитывать добровольные выплаты компенсаций компании пострадавшим в качестве смягчающего обстоятельства при утечке персональных данных.

Бизнес не смог добиться смягчения условий, хотя делал все возможное, чтобы избежать введения оборотных штрафов. Сначала компании написали письма депутатам, Минцифре и правительству с помощью отраслевых ассоциаций. Даже ассоциация предприятий черной металлургии “Русская сталь” оказалась среди тех, кто выступил с критикой данного законопроекта, указывая на то, что поправки затронут весь российский бизнес и приведут к произвольному применению закона и несоразмерной ответственности. Затем было предложено властям использовать механизм саморегулирования в качестве альтернативы. По мнению членов ассоциации больших данных, это позволило бы гарантировать “наивысшую степень защиты данных на отраслевом уровне”. Речь шла о введении отраслевого стандарта защиты данных, который предусматривал независимую аудиторскую проверку ИТ-компаний на соответствие данному стандарту.

Хотя поддержка идеи аудита защищенности операторов персональных данных со стороны Минцифры оказалась безрезультатной, законодательные изменения, ужесточающие наказание за утечки, все же были предложены в декабре и направлены в госдуму. Один из предложенных законопроектов вносит поправки в КоАП, согласно которым юридическим лицам придется платить штрафы в размере от трех до 15 миллионов рублей, в зависимости от объема утечки данных. Для повторных утечек предусмотрено еще более суровое наказание: штраф в размере до 500 миллионов рублей или 3% от оборота.

Второй законопроект стал неожиданностью: он вносит изменения в Уголовный кодекс и вводит уголовную ответственность для нарушителей. Теперь тем, кто вывозит данные граждан России за рубеж с целью их продажи или передачи, грозит лишение свободы до восьми лет. Если утечка данных повлекла вред жизни и здоровью граждан, а также общественной безопасности, или имеется связь с организованной преступностью, то “это уже 10 лет тюрьмы”, добавил один из авторов законопроекта, секретарь генсовета партии “Единая Россия” Андрей Турчак. Уголовная ответственность предусмотрена также для тех, кто занимается бизнесом на краденных данных, и в этом случае предусматривается до пяти лет лишения свободы и большой штраф.

Действующие меры ответственности за утечку данных (максимум 100-300 тысяч рублей для юридических лиц) недостаточно эффективны. Сегодня на черном рынке обращается около 20 тысяч баз данных, содержащих информацию о приблизительно 80% населения России. Ущерб от утечек данных только в прошлом году составил около 8 миллиардов рублей, сообщил Турчак, не указав, однако, источник этих данных.

Это еще не все: перед новым годом депутаты предложили поправки в закон “О связи”, позволяющие Роскомнадзору проводить внеплановые проверки утечек персональных данных “для оперативного реагирования на инциденты”. Председатель комитета Госдумы по информационной политике Александр Хинштейн объяснил необходимость данного закона тем, что только за первое полугодие число таких инцидентов выросло в четыре раза: с 19 до 76. В интернете, по его словам, “утекли” 177 миллионов записей с персональными данными россиян.

Проблема сохранности персональных данных остается актуальной, и об этом все знают: и бизнес, и государство, и пользователи. Ведущий консультант по информационной безопасности Innostage Татьяна Никонорова рассуждает, что для нее активно ищется решение, которое бы удовлетворяло интересы бизнеса с точки зрения затрат на защиту и интересы государства и пользователей в плане защиты данных.

Подводя итоги 2023 года, компании, занимающиеся кибербезопасностью, сообщают о росте объема утекшей информации и о все новых украденных базах данных. Так, согласно отчету “О значимых утечках данных в России” от “Лаборатории Касперского”, за 10 месяцев 2023 года было зафиксировано 133 случая публикации значимых баз данных российских компаний (когда скомпрометировано более 5000 строк пользовательских данных или когда происшествие получило резонанс в СМИ). По сравнению с 2022 годом объявлений об утечках стало меньше, но объем опубликованных данных вырос на 33%.

Свою статистику по этой теме предоставляет и компания F.A.S.S.T.: в 2023 году аналитики их подразделения по угрозам информационной безопасности зафиксировали появление 246 новых украденных баз данных российских организаций (в 2022 году было немного больше – 311 случаев утечек). Также стоит отметить, что если раньше киберпреступники атаковали любые компании, даже самые маленькие, то в этом году фокус сместился на атаки крупных организаций, от которых злоумышленники могут получить выгоду, используя украденные данные. Большинство похищенных баз данных преступники выкладывают в публичный доступ, чтобы причинить наибольший ущерб компаниям и их клиентам. Однако часть утечек злоумышленники не публикуют в открытом доступе – они продают или используют для последующих атак на крупных игроков в коммерческом и государственном секторах.

В новом году эксперты ожидают роста атак на IT-инфраструктуру. По мнению руководителя департамента информационной безопасности “Сиссофт” Дмитрия Ковалева, с увеличением числа компаний, переходящих в онлайн, у злоумышленников появляется все больше возможностей для реализации корыстных целей.

Участники рынка связывают остроту ситуации с тем, что компании стали уделять больше внимания защите доступа к данным со стороны сотрудников. Генеральный директор IT-компании RooX, Алексей Хмельницкий, говорит о необходимости оценки новых подходов к решению проблемы, включая такой концепт как “нулевое доверие”. В этом подходе элементы информационной безопасности включаются на каждом этапе создания информационных систем. Теперь даже постоянным сотрудникам, работающим внутри корпоративной сети, требуется проходить дополнительную аутентификацию для выполнения определенных действий с данными.

Однако, предлагаемые меры борьбы с утечками данных не считаются идеальными, как указывают аналитики и участники рынка. Коммерческий директор Servicepipe, Данила Чежин, утверждает, что более строгая ответственность за безопасность данных приведет к дополнительным затратам, которые, вместе с рисками уплаты штрафов, могут негативно сказаться на пользователях и конечных потребителях. В Ozon также отмечает, что введение оборотных штрафов в текущей экономической обстановке может иметь негативные последствия для российского IT-рынка и отменить позитивный эффект от уже предпринятых мер его поддержки.

Несмотря на это, представители власти считают, что введение оборотных штрафов стимулирует бизнес к усилению мер по обеспечению безопасности данных пользователей. Однако, по мнению преподавателя Moscow Digital School, Александры Орехович, в российских правовых реалиях практика оборотных штрафов не является широкораспространенной. Она предлагает предусмотреть механизмы, которые позволят избежать ответственности оператора в случае принятия всех необходимых мер безопасности, но при возникновении беспрецедентной кибератаки. Также, согласно источнику из крупной российской интернет-компании, повышение размера штрафа за утечку данных в разы (в 150 раз за первый случай и в 1667 раз за повторный) является непропорциональным и не соответствует поступательной шкале.

«Если мы посмотрим на тенденции регулирования в различных странах, то введение инструментов, понуждающих компании к увеличению расходов на кибербезопасность, достаточно распространены. Дьявол, как обычно, кроется в деталях, — рассуждает генеральный директор Института исследований интернета Карен Казарян. — Так, в проекте российского ФЗ компания будет наказана вне зависимости от ее действий. Тогда как в мире обычно наказывают за ненадлежащие меры по защите данных. Доказать свою невиновность, даже в случае хакерской атаки, практически невозможно. А в таком случае зачем тратить на безопасность сверх минимально необходимого по закону?».

Для эффективности предлагаемых мер Казарян подчеркивает необходимость использования как наказания, так и поощрений: уместное и логичное наказание за конкретное правонарушение, а также возможность для законопослушных предпринимателей избежать или смягчить его. Он также отмечает острую необходимость обновления самих нормативных принципов защиты информации, которые не успевают за современными угрозами и новыми средствами защиты. Отставание в сертификации кибербезопасности, которая занимает более двух лет, становится хронической проблемой.