Менее половины российских компаний готовы нести дополнительные траты на защиту персональных данных своих клиентов, следует из опроса HFLabs. IT-разработчик задал представителям 172 российских предприятий вопросы о конфиденциальности хранения баз данных. Напомним, в 2022 году случилось несколько громких утечек, из-за которых в открытом доступе оказались, по разным оценкам, до 167 млн строк с личными данными граждан. Эксперты рассказали «Известиям» о том, что нужно для решения проблемы, и прокомментировали результаты исследования.
Проблема есть, но денег жалко
Как показал опрос, только 48% российских предприятий планируют увеличить бюджет ради защиты персональных данных клиентов. В то же время 53% респондентов назвали утечки вероятными, а 9% признались, что уже сталкивались с этой проблемой в своих фирмах. 37% опрошенных выразили уверенность в том, что у них в организации утечек не случится. Большинство же (62%) опрошенных не уверены в безопасности и конфиденциальности сведений, попавших в базы их фирм. Также выяснилось, что лишь у 10% компаний есть план действий на случай утечки, а еще 11% опрошенных только осознают необходимость иметь такой алгоритм, но реального механизма решения проблемы у них в организациях пока нет. Лишь 16 из 172 респондентов согласились ответить на вопрос о том, какие мероприятия проводили их компании сразу после обнародования утечек: 50% из них сообщили, что их компании в таких случаях делают ставку на «повышение осведомленности сотрудников по поводу информационной безопасности». Иными словами, проводилась дополнительная разъяснительная работа с персоналом.
В компании «Код безопасности» сообщили, что защита персональных данных всё же является приоритетной при распределении бюджетов на инфобезопасность в отечественных предприятиях.
— На первом месте идет защита персональных данных, на втором — защита критической информационной структуры (КИИ), третье место делят требования сотрудников, отвечающих за информационную безопасность, и замена ушедших иностранных вендоров, — сообщил «Известиям» Павел Коростелев, руководитель отдела продвижения продуктов компании.
Автор цитаты
По информации Роскомнадзора, с начала 2022 года произошло более 40 крупных утечек баз персональных данных, скомпрометировано 300 млн записей. В частности, в свободном доступе оказались данные клиентов крупных сервисов доставки, образовательных центров и других компаний
Круг доверия сомкнулся
Самой распространенной реакцией на угрозу утечки остается ограничение доступа сотрудников к информационным базам данных — об этом заявили 68% опрошенных. Что, собственно, вполне логично — ранее в Минцифры сообщили, что 70% утечек данных происходят по вине сотрудников, имеющих доступ к базам.
Больше трети респондентов также назвали такие меры, как внедрение IT-систем для защиты ПД (36%) и ужесточение правил работы с данными (37%). Четверть опрошенных (26%) рассказали, что в целях безопасности их компании собирают меньше данных о клиенте. В абсолютном игнорировании проблемы признались 3% анкетируемых, а 18% затруднились с ответом.
— В целом организации склонны собирать намного больше данных, чем им в реальности требуется, — прокомментировал картину с утечками данных из компаний Константин Степанов, исполнительный директор HFLabs. — Поэтому первый шаг для профилактики утечек — проанализировать, какие данные вы собираете и действительно ли они вам нужны. Второй шаг — навести порядок в доступах к персональным данным. Разберитесь, кто из сотрудников их имеет и зачем? Хорошая практика — предоставлять доступ к клиентским данным через централизованную программу. Она хранит информацию о том, в какие системы сотруднику разрешен вход. Важно не уйти в другую крайность и не сделать доступ к персональным данным слишком сложным. Иначе сотрудники будут вынуждены искать обходные пути, в том числе копировать клиентскую базу на свой компьютер.
Как ведут себя клиенты
Только 20% опрошенных специалистов сообщили о том, что сталкивались с обращениями клиентов по поводу своих персональных данных. В целом же особенной активности граждан по поводу нарушения конфиденциальности в России пока не наблюдается. Однако уже имеются прецеденты наложения на компании штрафов в судебном порядке за нарушение закона о персональных данных.
По данным исследования, лишь 5% компаний зафиксировали значительное число обращений от клиентов после крупных утечек данных. Коллективных исков к компаниям также минимум.
Чисто российская тенденция
По различным оценкам, за шесть месяцев 2022 года число утечек в России значительно возросло. Как ранее сообщили «Известиям» в InfoWatch, за первое полугодие в сеть «ушло» на 45,9% больше баз данных, притом размер массива утекающей информации увеличился более чем в 16 раз. А по данным telegram-каналов «Утечки информации» и «Утечки баз данных», на которые ссылаются HFLabs, динамика еще более пугающая — число попавших в открытый доступ данных в стране выросло в восемь раз. За истекшие полгода в интернете оказались в общей сложности 167 млн строк с информацией о клиентах против 21 млн строк за тот же период 2021 года. Данные аналитиков компании Group-IB еще более пугающие: только в мае-июне в даркнете появилось рекордное количество баз российских компаний, в результате 19 крупнейших утечек в общедоступными стали 616,6 млн строк информации.
Любопытно, что в глобальном масштабе наблюдается обратная динамика — утечек стало меньше в 10 раз, говорится в исследовании. Всего в Сеть попало 146 млн строк, тогда как в прошлом году — 1,6 млрд строк данных.
Стимулировать рублем
Член Ассоциации юристов России Юлия Рамзенкова считает, что защита данных прежде всего связана с контролем сотрудников, которые имеют доступ к информации.
— В ряде случаев собранные персональные данные бывают недостаточно защищенными и могут случайно или намеренно попасть в руки недобросовестных лиц, — говорит собеседник «Известий».
По ее мнению, дополнительная ответственность компаний за «слив» данных должна побудить инвестировать в их защиту.
— В этом году предложили ввести оборотные штрафы за утечку данных. Если количество клиентов, чьи данные попали в общий доступ, превышает 10 тыс., то налагаемый штраф будет оборотным. Размер штрафа планируют ограничить минимальным и максимальным размером от выручки.
Юлия Рамзенкова напомнила, что согласно действующему законодательству ответственность для оператора за невыполнение условий, обеспечивающих сохранность данных и устраняющих случайный доступ к ним, установлена ст. 13.11. КоАП РФ и при отсутствии признаков уголовно наказуемого деяния предусматривает штраф: на физическое лицо — от 1 500 до 4 000 рублей; на должностное лицо — от 8 000 до 20 000 рублей; на индивидуальное предприятие — от 20 000 до 40 000 рублей; на юрлицо — от 50 000 до 100 000 рублей.