В СДЭК – снова утечка персональных данных. Представители компании подтвердили инцидент и заявили о том, что платежные данные клиентов не были скомпрометированы. В Минцифры РФ тем временем готовится законопроект о введении оборотных штрафов за утечку информации о пользователях. Чем опасны такие утечки? Заставят ли оборотные штрафы пересмотреть политику компаний по защите данных клиентов? Об этом – в материале «ФедералПресс».
Современные онлайн-сервисы сильно упростили нашу жизнь и сделали удобными многие рутинные процессы. Интернет-магазины, транспортные компании, курьерские службы доставки и другие сервисы позволяют серьезно экономить время. За пару кликов мышью можно приобрести билеты на поезд или самолет, купить еду, забронировать номер в отеле или записаться к врачу.
Обратная сторона удобства интернет-сервисов – сбор персональных данных. Различные компании, в зависимости от сферы деятельности, собирают наши номера телефонов, адреса электронной почты, адреса проживания, номера банковских карт и другую информацию. Зачастую эти данные оказываются недостаточно защищенными и могут попасть в руки злоумышленников. И если по отдельности эти утечки не представляют никакой ценности, то в случае слияния различных данных в единую базу они становятся серьезной угрозой безопасности человека.
В СДЭК случилась уже третья по счету утечка персональных данных. Речь идет о сервисах «CDEK.Shopping» и «СДЭК.Маркет». В компании признали инцидент и сообщили, что номера банковских карт клиентов и документов, удостоверяющих личность, в базу не попали.
«Мы изучаем базу данных, выложенных в Сеть, и уже выясняем обстоятельства случившегося. Данные в базе похожи на базу клиентов CDEK.Shopping и СДЭК.Маркет. Уже известно, что в базу не попали номера документов, удостоверяющих личность, и данные банковских карт клиентов. Мы делаем все, чтобы предотвратить распространение утечки», – заявили представители СДЭК.
Первая утечка персональных данных в транспортной компании случилась в феврале 2022 года. Тогда в сеть попали два файла с данными пользователей сервиса. Представители СДЭК объяснили произошедшее хакерской атакой. Первый файл состоял из 466 миллионов строк (телефон клиента и его ID в системе), а второй из 822 миллиона строк (Ф.И.О. пользователя, адрес электронной почты и ID). За эту утечку данных СДЭК был оштрафован Роскомнадзором на 60 тысяч рублей, а клиенты подали коллективный иск на 2.2 миллиона рублей о взыскании компенсации.
Второй инцидент произошел в июле 2022 года. Утечка коснулась как пользователей сервиса, так и контрагентов. В открытом доступе оказалась база данных на 160 миллионов записей, в которой содержались адреса электронной почты клиентов, идентификаторы отправителя и получателя, коды пунктов самовывоза, информация о физических и юридических лицах, номера телефонов и почтовые адреса.
Зачастую простым «сливом» данных ситуация не ограничивается, после попадания информации в открытый доступ с ней начинается масштабная работа. Сопоставив Ф.И.О., номер телефона, адрес проживания, добавив данные из социальных сетей и открытых источников, злоумышленники могут получить практически полное досье на человека. По так называемым «обогащенным» базам данных можно косвенно судить о материальном достатке пользователя, его образе жизни, привычках и хобби.
Одна из самых масштабных утечек персональных данных произошла в марте 2022 года, когда в открытом доступе оказалась информация о клиентах сервиса «Яндекс.Еда». По данным телеграм-канала «Утечки информации», в Сеть утекла база данных сервиса на 49 миллионов строк. Всем желающим стали доступны имена и фамилии клиентов, их номера телефонов, полный адрес доставки и комментарий к заказу.
Впоследствии злоумышленники «обогатили» данные «Яндекс.Еды» информацией из других интернет-сервисов: СДЭКа, Avito, Wildberries, «Билайна», ВТБ, ГИБДД, и нанесли эту информацию на интерактивную карту. Представители Wildberries и Avito не подтвердили утечку, заявив, что в сеть попал результат парсинга – автоматизированного сбора данных из открытых источников при помощи специальных программ. Как и СДЭК, сервис «Яндекс.Еда» был оштрафован Роскомнадзором на 60 тысяч рублей за утечку персональных данных.
В апреле 2022 года в Минцифры предложили ввести оборотные штрафы для бизнеса за утечку данных пользователей.
«Мы понимаем, и последние массовые утечки говорят о том, что, конечно, те штрафы, которые мы в два раза увеличили, ситуацию кардинальным образом не спасают», – заявил министр цифрового развития Максут Шадаев в ходе заседания комитета Госдумы по информполитике.
Соскучились по дому: половина уехавших из России айтишников хотят вернуться
29 августа 2022 года в ведомстве объяснили необходимость введения оборотных штрафов стимулированием развития информационной безопасности.
«Дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей», – сообщили в Минцифры.
Оборотный штраф может грозить компаниям, если утечка данных коснулась более 10 тысяч человек. Для назначения наказания будут учитываться как отягчающие, так и смягчающие обстоятельства инцидента. Сумма штрафа может быть значительно снижена, если компания публично признает факт утечки, проведет расследование и будет помогать контролирующим органам.
Директор Института проблем правового регулирования НИУ ВШЭ Анна Дупан заявила, что утечки данных пользователей создают серьезные репутационные риски для компаний.
«Обеспечение безопасности персональных данных – сложное комплексное мероприятие, поэтому оно может быть очень затратным. Компании всегда соотносят и оценивают риски, насколько это возможно, это происходит во всех странах. Если риски высокие, то компания предпримет все меры, чтобы не допустить утечку, и для нее последствия даже не в виде штрафов, а в виде утраты клиентской базы – гораздо серьезнее, чем административный штраф», – рассказала Дупан.
По ее мнению, компаниям будет выгоднее вкладываться в системы защиты данных, чем платить штрафы.
«Оборотные штрафы будут способствовать защите персональных данных, потому что компаниям будет выгоднее инвестировать в эти системы, чем потом платить штрафы. Но это будет работать только при условии реальности их взыскания», – заключила эксперт.
Напомним, что практика взыскания оборотных штрафов за различные нарушения в России уже применяется. В июле 2022 года Мировой суд Таганского района Москвы постановил взыскать с корпорации Google оборотный штраф в размере 21 миллиарда рублей за неисполнение законодательства РФ.
Фото: Федерал Пресс / Полина Зиновьева