Риск замалчивания: зачем нужен единый стандарт действий компаний в случае утечек данных

В последние месяцы вопрос кибербезопасности крупных компаний и их клиентов стоит особенно остро. По данным Group-IB, с конца февраля 2022 года в три раза выросло количество кибератак, в частности, сопровождающихся публикацией выгруженных данных на всеобщее обозрение. Яркий пример — февральская публикация похищенных данных клиентов Яндекс Еды в формате карты, которая позже была дополнена похищенным данными клиентов других компаний, например, «Гемотест», «СДЭК», WildBerries.

Минцифры признает, что в ближайшее время утечки могут произойти у десятка тысяч организаций.

По словам представителя министерства, за утечки персональных данных для компаний могут ввести оборотные штрафы уже в течение этого года, следует из сообщения на форуме Positive Hack Days. Минцифры уже согласовало законопроект о таких штрафах — они будут составлять 1% от оборота компании.

Наказывать нужно не только компании

Ответственность за сливы данных, по мнению председателя комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александра Журавлева, нужно законодательно разграничивать.

«В случае с утечками может быть две ответственные стороны: сама компания, данные которой были украдены, а также те, кто приложил усилия для их похищения. Это может быть как штатный сотрудник, так и кто-то извне. И штраф только для, по сути, пострадавшей компании не предотвратит следующую утечку, пока не найден конкретный злоумышленник. Поэтому наказывать нужно обе стороны как за действие, так и за бездействие, а размер ответственности должен определяться в зависимости от обстоятельств», — поясняет эксперт.

Статистика подтверждает: например, в 2020 году в 60% случаев причиной утечек были именно намеренные действия, остальные 40% сливов произошли по причинам невнимательности и наивности людей. Злоумышленников сегодня можно судить за похищение информации по статье 137 УК РФ.

В отношении лиц, ответственных за массовые утечки персональных данных, она почти не применяется, но сегодня по ней судят за публикацию интимных фотографий и личной переписки в соцсетях.

В некоторых случаях злонамеренные действия можно предупредить с помощью достаточной заботы о протоколах безопасности и ограничении доступа к персональным данным клиентов. Однако растущее количество утечек, по словам Журавлева, свидетельствует о том, что ни одна компания не застрахована от подобного. При этом самая тревожная ситуация складывается у малого и среднего бизнеса — часто у них отсутствуют необходимые для предотвращения утечек процедуры, а процессы, связанные с архитектурой информационной безопасности, не всегда отлажены. В сегодняшней ситуации всем компаниям необходимо улучшать как процессы, так и системы безопасности.

«Если компания собирает и хранит множество данных клиентов – необходимо реинвестировать часть прибыли в их безопасность. Если же компания по каким-то причинам не может создать достаточный уровень безопасности – ей следует снизить количество собираемых данных», — добавляет Журавлев.

Штрафы должны учитывать обстоятельства утечки

Компании, как и злоумышленники, должны нести ответственность. Однако резкий рост штрафов, по мнению эксперта, может привести к тому, что их усилия будут направлены на замалчивание проблем, а не на своевременное оповещение об инцидентах и ликвидацию их последствий. Поэтому меры ответственности для бизнеса нужно дополнить квалифицирующими обстоятельствами.

Задатки этой идеи уже есть у Минцифры. Так, директор департамента обеспечения кибербезопасности Владимир Бенгин предлагал за неуведомление об утечке ввести отдельный штраф. Александр Журавлев считает, что для полноценного регулирования подобных ситуаций этого недостаточно — необходимо ввести единый стандарт действий компаний на случай утечек.

Он должен содержать перечень мер, которые должны принять компании, чтобы снизить ущерб гражданам.

Например, Журавлев подчеркивает, что компании должны своевременно сообщать гражданам об утечках и включать в письмо общие рекомендации по тому, каким образом пользователю обезопасить себя от их влияния. Причем сообщение должно быть доставлено таким образом, чтобы пользователи увидели его сразу же. Например, с помощью пуш-уведомлений в приложении, считает эксперт. Из тех, кто этой весной столкнулся с похищением данных клиентов, разослали письма об инциденте Яндекс Еда и GeekBrains. «Гемотест» же разместил объявление на своем сайте. Такие действия могут стать примером для остальных компаний, однако должна быть прописана одна общая механика. Кроме того, компании должны работать с последствиями утечки, например, осуществлять мониторинг публичных ресурсов и даркнета на предмет появления баз данных пользователей и работать над их удалением или блокировкой.

На основе единого стандарта действий можно будет определять меры ответственности.

«Например, если компания сообщила пользователям об утечке самостоятельно и в кратчайшие сроки, приняла достаточные меры безопасности, разработала подробную модель угроз, приняла меры для устранения причин утечки и постаралась максимально снизить ее последствия, штраф должен быть снижен. Если компания скрывает факт утечки или отрицает ее, ведет себя недобросовестно по отношению к пострадавшим клиентам. Также если утечки можно было избежать благодаря примитивным архитектурным решениям системы информационной безопасности и организации системы работы с данными внутри компании, тогда размер санкции должен быть значительным», — объясняет Александр Журавлев.

Законопроект об оборотных штрафах за утечку персональных данных в целом необходим, так как он имеет дисциплинирующее действие, считает Журавлев. В нем важно установить наказание для разных категорий лиц, причастных к таким утечкам. Кроме того, следует разграничить порядок применения, ответственность, а также установить стандарт действий для компаний на случай утечки. Благодаря этому, у бизнеса появится стимул усилить безопасность данных граждан, а обстоятельства утечек станут прозрачнее для клиентов и властей.