Причины и следствия крупных утечек персональных данных 2022 года

С момента начала СВО в России резко возросло количество утечек персональных данных. По некоторым оценкам, за 2022 год из российских компаний утекло более 300 миллионов записей персональных данных – то есть суммарный объём утечек превысил численность населения РФ.

При анализе доступной информации об утечках оказывается, что во всех инцидентах много общего. Попробуем обобщить сведения о наиболее громких утечках в таблице:

Основные выводы

1. Во всех случаях лица, непосредственно виновные в утечках, остались безнаказанными – найти никого не удалось.
2. Компании явно старались «cпустить на тормозах» случившееся – не обращались (кроме одного случая) в правоохранительные органы, не доводили до конца внутренние расследования или не обнародовали их результаты и не предпринимали никаких видимых мер, гарантирующих прекращение утечек. Вследствие этого в нескольких компаниях утечки происходили регулярно.
3. Компании не были оштрафованы. Штраф в 60 тысяч рублей при миллиардных оборотах компании попросту незаметен. Ряд пострадавших клиентов, правда, обратились в суд с требованием компенсировать им ущерб от утечки. Однако их позиция выглядит проигрышной: для того, чтобы компенсировать ущерб, причинённый им мошенниками, потребовалось бы доказать прямую причинно-следственную связь между утечкой данных и деятельностью мошенников, что практически невозможно. Моральный же ущерб оценивается не высоко.

В чем же проблема?

1. Кадры

Как это ни странно, истоки проблемы обнаруживаются в кадровой работе. После изучения объявлений о вакансиях в пострадавших от утечек компаниях (были просмотрены объявления на собственных сайтах компаний, а также на сайтах HeadHunter и SuperJob) оказалось, что:

• Компании Delivery Club, Geek Brains, Kari, Метрополис, РИА «Новости», СДЭК, Туту.ру, Pikabu вообще не нуждаются в услугах специалистов по информационной безопасности – соответствующих вакансий в этих компаниях не имеется.
• Компании Гемотест, Теле2, Ростелеком (23 вакансии специалистов по ИБ, из них зарплата указана для 2), Яндекс (11 вакансий) разместили несколько односторонние объявления о вакансиях – при солидном пакете требований к соискателям в объявлениях отсутствует информация о социальном пакете и, в частности, о размере зарплаты. Вероятно, HR-специалисты в этих компаниях считают, что работа у них – само по себе достаточное вознаграждение для любого специалиста. На самом же деле квалифицированные специалисты при поиске работы рассматривают таких «котов в мешке» в последнюю очередь.
• Наконец, Почта России, хотя и подыскивает специалиста, предлагает за эту работу зарплату ниже рыночной.

Все пострадавшие компании либо предпочитают обходиться вообще без специалистов по информационной безопасности, либо с самого начала рассчитывают на услуги дешёвых недостаточно квалифицированных специалистов, которые просто не сумеют в полной мере обеспечить их безопасность. Что в таком случае может быть сделано для того, чтобы предотвратить повторную утечку?

2. Закупочная политика

Второй фактор, предрасполагающий к утечкам персональных данных – негибкая закупочная политика крупных компаний. Приобретению необходимого оборудования предшествует продолжительная процедура закупки, конкурсы, переторжки. Бюджет же компании свёрстывается, как правило, за год. В результате даже там, где имеются специалисты по информационной безопасности, они практически не имеют возможности приобрести необходимые программные и аппаратно-программные средства под потребности, именно тогда, когда они нужны. Вместо этого поставка средств защиты информации производится в лучшем случае через несколько месяцев с момента заказа. К тому же зачастую приобретаются не лучшие, а наиболее дешёвые средства защиты – ведь главным критерием победы на конкурсе является цена.

Прогноз на 2023 год

Насколько серьезно организации относятся к утечкам? Что ж, мизерные штрафы не побуждают операторов персональных данных менять ситуацию. Однако в настоящее время в Государственную думу уже внесён законопроект об оборотных штрафах за утечки персональных данных. Если этот проект будет принят (а о его принятии уже говорят и даже планируют на сентябрь 2023 года), то компании, допустившие утечку, будут подвергаться штрафам от 5 до 500 миллионов рублей. Максимальная сумма штрафа ждёт компанию, которая повторно допустила утечку данных после вступления закона в силу и нарушила несколько требований закона, например, попыталась скрыть произошедшее. Как это изменит ситуацию? Во-первых, компании гораздо серьезнее начнут относиться к выбору кандидата на проведение аудита, так как от его результатов будет зависеть, будет ли иметь выполнение требований регулятора влияние на конечную сумму штрафа. Во-вторых, компании начнут гораздо серьезнее относиться к поиску виновных и наконец начнут оценивать стоимость тех или иных данных, возможно даже страховаться от рисков утечки так как вопрос перейдет уже в понятную бизнесу финансовую плоскость. В-третьих, организации гораздо серьезнее начнут подходить к подбору персонала в отделы информационной безопасности, так как от их видения и выбора подхода к обеспечению защиты информационных активов компании будет зависеть, получит ли компания оборотный штраф.

Пока компании только готовятся (в единичных случаях) к новым условиям жизни, можно ожидать новых утечек в 2023 году.