57% утечек персональных данных в России и СНГ скрываются, выяснили исследователи информационной безопасности из «СёрчИнформ». При этом госкомпании сознаются в допущенных ошибках охотнее, чем частные: в первых замалчивают 41% подобных случаев против 60% у вторых. Это много, но уже заметно меньше, чем, например, годом ранее. Хотя эксперты, специализирующиеся на кибербезопасности, считают, что приведенные цифры слишком оптимистичны. Юристы добавляют, что ситуация кардинально не улучшится, пока в России не повысят штрафы за утечки и не заставят компании выплачивать компенсации в пользу пострадавших.
Тайные сливыВ 2020 году 58% российских компаний хотя бы раз сталкивались с попыткой слива информации, выяснили в «СёрчИнформ». В частных организациях треть таких инцидентов была направлена именно на компрометацию персональных данных пользователей. В компаниях госсектора — 40%.
Также исследователи отмечают, что число организаций, сталкивающихся с утечками, год от года остается практически неизменным. В 2019 году 59% российских компаний сообщили, что сталкивались с попытками слива информации. «СёрчИнформ» связывает это постоянство с медленным оснащением организаций программным обеспечением, служащим для предотвращения и выявления сливов и утечек. Текущего темпа достаточно, чтобы процент не рос, но недостаточно для его снижения.
При этом далеко не все случаи утечек и сливов становятся достоянием общественности. В среднем 57% инцидентов в России и СНГ остаются в тени — о них не сообщается пострадавшим, журналистам и регуляторам. Организации из госсектора сознаются в допущенных ошибках охотнее, чем частные компании: в первых скрывают 41% случаев против 60% у вторых.
Аналитики подчеркивают, что, несмотря на всё еще высокий процент замалчивания, доля таких случаев год от года снижается. Например, в 2019 году компании скрывали 63% утечек и сливов, а в 2017-м — 86%.
Статистика исследования основана на результате опроса начальников и сотрудников ИБ-подразделений, экспертов отрасли и руководителей организаций из коммерческой (71,5%), государственной (26,5%) и некоммерческой сфер (2%). Работа затронула сферы IT, нефтегазового сектора, промышленности, транспорта, кредитно-финансовой отрасли, ритейла, здравоохранения и др. Анкетирование проводилось в городах России и СНГ.
Гнев народаВ «СёрчИнформ» считают, что случаев умалчивания утечек становится меньше, поскольку с каждым годом роль общественного резонанса в имидже компаний становится важнее. Как для государственных, так и для частных. Только в последнем случае внимание к таким деталям, как защищенность данных, становится еще и вопросом конкурентного преимущества.
—
Не сообщив об утечке или не отреагировав на новость о ней, они рискуют столкнуться с «народным гневом». Более того, общество позитивнее воспринимает подготовленный заранее обстоятельный ответ, нежели начало разбирательств после сообщения в СМИ, — отмечают авторы исследования.
Руководитель отдела анализа защищенности веб-приложений Positive Technologies (PT) Ярослав Бабин считает, что в последние несколько лет мощный общественный резонанс в СМИ и соцсетях практически не оставляет компаниям шансов не признать утечку или слив.
В «Лаборатории Касперского» (ЛК) согласны, что в последнее время замалчивать утечки стало сложно. Поскольку ИБ-исследователи, активисты и СМИ уделяют много внимания тому, что происходит с персональными данными. В итоге неизвестная какое-то время утечка данных, оказавшаяся в продаже на хакерском форуме, всё равно, скорее всего, всплывет в публичном пространстве. Пользователи тоже становятся более образованными и понимают, как их персональные данные, попавшие в интернет, могут повлиять на жизнь в офлайне.
—
В результате вероятность, что факт утечки всё равно станет достоянием общественности, очень высока, но репутационных проблем, если компания будет отрицать свершившуюся утечку, может быть еще больше, — отметил старший исследователь данных ЛК Владислав Тушканов.
Впрочем, есть среди экспертов, специализирующихся на информационной безопасности, и другое мнение. Например, руководитель направления аналитики и спецпроектов в компании InfoWatch Андрей Арсентьев считает статистику «СёрчИнформ» по замалчиванию слишком оптимистичной. Специалист утверждает, что, несмотря на риск общественного резонанса, российские компании всё еще недостаточно мотивированы для раскрытия информации об утечках.
—
Как правило, сор из избы выносить не принято, то есть сведения о подобных инцидентах остаются достоянием самих компаний. Даже под давлением фактов организации могут отрицать утечки или преуменьшать их последствия. О ряде утечек становится известно, только когда дела по ним выходят на судебный уровень, — сообщил эксперт.
Большей открытости отечественных компаний, считает специалист, будут способствовать изменение законодательства РФ, введение дифференцированной ответственности за утечки, а также постепенная эволюция отношения потребителей к защите своих данных.
Новая законностьВ «СёрчИнформ» полагают, что общественный резонанс служит не только инструментом давления на компании, но и подстегивает законодательные процессы.
Рассуждая о том, какими должны быть эти новые законы, председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев заявил, что новые нормы, направленные на защиту конфиденциальности граждан, обязаны наказывать компании рублем. По примеру Евросоюза и американского штата Калифорния, которые, по мнению эксперта, являются законодателями моды в обеспечении защиты данных.
В Калифорнии действует закон о защите конфиденциальности потребителей (CCPA), который, как отмечает юрист, подразумевает штрафы для компаний, допустивших утечку, в размере до $7,5 тыс. и компенсацию каждому пострадавшему в размере до $750. В свою очередь, Андрей Арсентьев в качестве примера правильного подхода привел европейский общий регламент по защите данных (GDPR). Он обязывает компании уведомить регулирующие органы об инциденте в течение 72 часов. В противном случае может быть взыскан штраф в размере до €20 млн, или 4% от годового оборота фирмы.
—
На Западе компании в целом довольно трепетно относятся к поддержке лояльности клиентов. Всё больше потребителей относят безопасность компаний к числу важнейших факторов. Согласно зарубежным исследованиям, 65% потребителей теряют доверие к компании, допустившей утечку. А 80% клиентов готовы уйти, если их данные окажутся скомпрометированы в результате инцидента, — сообщил Арсентьев.
В России, указывает Журавлев, из наказаний предусмотрен только штраф в размере 75 тыс. рублей, прописанный в КОАП. Причем эти средства идут не пострадавшим, а в госбюджет. Впрочем, считает эксперт, первые шаги на пути улучшения ситуации в стране уже сделаны.
—
Подписанный президентом в конце декабря закон от 30.12.2020 № 519-ФЗ «О внесении изменений в федеральный закон «О персональных данных»» даст россиянам право требовать полного или частичного удаления персональных данных и возможность узнать, какие третьи лица получат от оператора доступ к ним, — подчеркнул Александр Журавлев.
При этом он считает, что необходимо как можно быстрее поднять суммы штрафов и создать «институты компенсаций». А также ввести независимый контроль за хранением и обработкой данных и используемых для этого алгоритмов по примеру европейских коллег.
Источник 
