Громкие дела
Facebook заплатит 5 миллиардов долларов за утечку личных данных более 87 миллионов пользователей. Такое решение приняла Федеральная торговая комиссия США (FTC). Расследование FTC началось весной 2018 года, когда стало известно, что данные десятков миллионов пользователей Facebook были незаконно захвачены консалтинговой компанией Cambridge Analytica. Она использовала информацию подписчиков социальных сетей для разработки алгоритма анализа политических предпочтений избирателей.
Кредитное бюро Equifax должно выплатить $700 млн за утечку, произошедшую в 2017 году. Тогда хакерам удалось взломать базу данных компании и украсть данные 147 млн клиентов. Не вся сумма является штрафом. Equifax выплатит клиентам компенсацию в размере не менее 300 миллионов долларов.
Британский информационный регулятор ICO намерен оштрафовать British Airways на 183,4 млн фунтов стерлингов ($230 млн). Перевозчику придется ответить за утечку платежных данных более полумиллиона пассажиров в 2018 году. Надзорный орган в своем решении будет руководствоваться нормами европейского регламента о защите персональных данных (GDPR).
ICO также планирует взыскать 99 млн фунтов ($123 млн) с Marriott, из которой хакеры похитили 339 млн записей с данными о постояльцах отелей (скорее всего, многие файлы дублируют информацию о клиентах, останавливавшихся в отелях сети несколько раз). Если апелляция Marriott будет отклонена, штраф составит примерно 3% от годового оборота сети отелей.
Американская сеть ресторанов быстрого питания Wendy's выплатит 50 миллионов долларов по иску, поданному группой банков. Wendy’s согласилась урегулировать претензии по нарушениям, имевшим место в 2015–2016 годах. Затем хакеры установили вредоносное ПО во многие торговые терминалы. Атаки на платежную инфраструктуру привели к утечке информации о банковских картах клиентов более 1000 ресторанов.
Ситуация в России
В открытых источниках аналитики InfoWatch обнаружили сообщения о шести штрафах в России, выписанных компаниям именно за утечку персональных данных граждан на общую сумму 180,5 тыс. руб. Наказания получили две микрофинансовые организации, поликлиника, институт, ритуальное агентство и отделение Почты России.
В частности, в ноябре 2019 года пермские коллекторы были оштрафованы на 70 000 рублей за разглашение персональных данных должника. Выяснилось, что сотрудники коллекторской компании «Финпротект» звонили родственникам и руководству должника банка, говорили о его финансовых проблемах и пытались оказать на него давление, сообщает деловая газета «Бизнес-класс».
В феврале 2019 года Мировой суд Мурманска по представлению регионального управления Роскомнадзора оштрафовал городскую поликлинику № 2 за нарушение Федерального закона № 152-ФЗ «О персональных данных». Выяснилось, что работники поликлиники выбросили в мусорку диспансерные карточки с данными пациентов. Сумма штрафа составила 25 тысяч рублей, пишет РИА Новости.
В целом за прошлый год Роскомнадзор составил 215 протоколов за различные нарушения правил обработки персональных данных и оштрафовал компании на 1,099 млн руб. Однако подробной статистики ведомство не разглашает.
Как защитить себя от утечек
Аналитики InfoWatch сообщили в феврале, что в 2019 году из финансовых учреждений по всему миру было украдено более 1 миллиарда конфиденциальных записей, что в 27 раз больше, чем в 2018 году.
Большая часть утечек связана с тремя крупными инцидентами. Речь, в частности, о случае в мае прошлого года, когда в результате некорректной настройки сервера американской страховой компании First American Financial Corp. было скомпрометировано 885 млн записей с персональными данными ипотечных заемщиков.
Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского», рассказал «Известиям», что крупные компании гораздо больше внимания уделяют безопасному хранению данных. гигиена. При этом киберпреступники часто используют автоматические программы и алгоритмы для выявления уязвимостей, взлома ресурса и кражи информации», — сказал Наместников.
По его словам, современные подходы к киберзащите, наличие политики безопасности, разграничение прав доступа, протоколирование действий сотрудников и их регулярное обучение, аудиты безопасности и другие меры позволяют минимизировать риск утечек.
Эксперт посоветовал компаниям использовать легальное программное обеспечение, регулярно обновлять его и устанавливать на все устройства защитные решения. Также не оставляйте дефолтные настройки на оборудовании, например роутере, следите за политикой доступа и закрывайте ее для бывших сотрудников. Представитель «Лаборатории Касперского» призвал следить за тем, чтобы каждый пользователь регулярно менял пароли и никому их не сообщал.
Законодательная база
Нарушение положений европейского регламента GDPR грозит штрафом до 4% от годового оборота компании, что может навредить даже самому стабильному и крупному бизнесу.
Но российское законодательство в области защиты персональных данных до недавнего времени было в целом довольно мягким и не предусматривало серьезного финансового воздействия на компанию-нарушителя.
Однако ситуация стала меняться. Так, в декабре 2019 года президент России Владимир Путин подписал закон, предусматривающий введение крупных штрафов за несоблюдение требований к хранению персональных данных в России. Для юридических лиц штраф составит до 6 млн рублей, а при повторном нарушении — до 18 млн рублей.
Аналитики InfoWatch прогнозируют в будущем ужесточение ответственности за другие нарушения в сфере защиты персональных данных, в том числе за утечку информации.
При этом административные штрафы за нарушение прав пользователя на персональные данные не превышают 75 тысяч рублей (статья 13.11 КоАП РФ). Это не создает финансовых стимулов для операторов принимать меры по соблюдению законодательства о персональных данных, рассказала «Известиям» директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ), преподаватель Московской цифровой школы Александра Орехович.
- Проблема российского законодательства в том, что оно не может учитывать степень развития информатизации общества и экономики. Фактически закон, регулирующий оборот персональных данных, до сих пор «заточен» на бумаге», — добавил эксперт.
В свою очередь, «Известиям» рассказал Александр Савельев, кандидат юридических наук, заместитель председателя комиссии по правовому обеспечению цифровой экономики Московской ассоциации юристов России, доцент юридического факультета НИУ ВШЭ. что в России гражданин, скорее всего, не сможет ничего доказать в суде и получить компенсацию за нарушение своих прав на персональные данные, в том числе в случае утечки его данных, поскольку адекватных механизмов защиты таких прав в страна.
— Проблема российского законодательства о персональных данных в том, что «новое вино» в виде множества ситуаций и рисков, порожденных цифровизацией, не вписывается в «старые мехи» аналогового законодательства, подкрепленные формальным бюрократическим подходом. к его толкованию и применению, — заключил адвокат.