Роскомнадзор планирует ввести разные уровни доступа к персональным данным для операторов по обработке такой информации. Об этом заявил замруководителя ведомства Милош Вагнер на Петербургском международном юридическом форуме (ПМЮФ). Ранжирование позволит существенно уменьшить число организаций, которые сейчас получают полноценный доступ к личным данным. Такая мера должна предотвратить утечки: сейчас данные только одного согласившегося на их обработку могут оказаться у 20–30 операторов. В компаниях по кибербезопасности «Известиям» подтвердили, что объем утечек в начале этого года значительно вырос по сравнению с прошлым, но усомнились, что ранжирование операторов поможет эффективно с ними бороться.
Полноценное согласие
Количество операторов, которые смогут запрашивать полноценное согласие на обработку персональных данных, планируется снизить, заявил замруководителя Роскомнадзора Милош Вагнер, выступая на ПМЮФ.
Операторы данных — это государственные и муниципальные органы, а также юридические и физические лица, которые могут обрабатывать персональную информацию. В реестре Роскомнадзора сейчас более 950 тыс. таких организаций. Как отметил замлавы ведомства, доступ к данным имеют все эти организации, а вот крупных среди них лишь около 100.
— И мы видим совершенно безобразные случаи, когда человек в течении секунды соглашается на обработку данных, хотя, если перейти по ссылке, то там огромный документ на 80 листах, — подчеркнул Милош Вагнер. — Получается, что он в течении секунды ознакомился с условиями, а также с тем, кому эти данные потом передадут, а они полетят в 20–30 организаций. А дальше подписавшему придется контактировать именно с ними, а не с владельцем сайта, который им их передал.
Такая ситуация, по его словам, провоцирует утечку персональных данных. Поэтому Роскомнадзор прорабатывает систему дифференциации операторов персональных данных.
— Стоит ввести несколько рангов, которые будут зависеть от объема накапливаемых данных, способности автономно решать сложные задачи и в целом стратегического назначения оператора, — пояснил Милош Вагнер. — Например, операторы первого ранга могли бы помогать коллегам поменьше, взяв на себя функции по защите информации и контролю доступа к ней, по проведению аудитов и прочее.
А у операторов низшего ранга будет возможность работать с минимальным количеством данных, они не смогут накапливать их и передавать третьим лицам.
Закон об обработке персональных данных появился в 2006 году и, как отметил Милош Вагнер, уже не соответствует нынешнему цифровому миру. Так, заявил он, необходим механизм, когда пользователь сможет отказаться или прекратить обработку своих данных «в один клик».
Он также отметил, что нужна разработка детальных инструкций для операторов персональных данных об их хранении.
— Необходимо прямо в законодательстве предусмотреть право использовать доверенные системы идентификации, которые позволяют оператору не копировать все данные о человеке, а хранить у себя лишь синтетический идентификатор и транзакционные данные. В случае компрометации этих баз привязать записи к конкретному человеку будет гораздо сложнее, — сказал замглавы ведомства.
«Известия» направили запрос в Роскомнадзор с просьбой сообщить, на какой стадии находится разработка поправок, которые бы позволили присваивать операторам обработки персональных данных различные ранги.
Масштабные утечки
По данным Роскомнадзора, с начала 2024 года в Cеть попало более 510 млн записей россиян, всего было 19 фактов утечек персональных данных. За 2023 году ведомство насчитало 168 утечек персональных данных, в сети оказалось 300 млн записей.
За первые четыре месяца 2024 года было зафиксировано 63 случая публикаций паролей российских пользователей, это около 30 млн записей, рассказал «Известиям» руководитель группы аналитиков сервиса Kaspersky Digital Footprint Intelligence Петр Мареичев.
— Это более чем в два раза больше, чем за аналогичный период 2023 года, — сказал он.
Он отметил, что 87% пользовательских данных, утекших за первые три месяца 2024 года, относятся к финансовым организациям: банки, микрофинансовые организации, страховые компании.
По данным сервиса разведки утечек данных и мониторинга даркнета DLBI, в 2023 году злоумышленники получили доступ к 240 млн телефонных номеров и 123 млн e-mail-адресов россиян. А за первые три месяца этого года, по данным компании, в Сети уже оказались данные 121 млн телефонных номеров и 38 млн e-mail-адресов.
— Эти данные были выставлены на продажу в даркнете, опубликованы в закрытых форумах и телеграм-каналах и даже попали в свободный доступ, — указали в компании.
В DLBI подтвердили, что в I квартале лидером по объему утечек были финансовые организации — они потеряли в общей сложности 96 млн номеров телефонов и 20 млн адресов электронной почты клиентов.
Как отметил Петр Мареичев, сейчас злоумышленники фокусируются на малом и среднем бизнесе.
— В начале этого года они выкладывали информацию преимущественно небольших компаний, количество фактов публикаций баз данных крупных организаций в I квартале уменьшилось в три раза по сравнению с аналогичным периодом прошлого года, — рассказал он. — А с января по март 2024 года мы зафиксировали рост объема утекших данных среди организаций в сегменте малого и среднего бизнеса — почти в четыре раза выше по сравнению с 2023 годом.
С 2021 года число утекших персональных данных выросло в 2,5–3 раза, рассказал «Известиям» директор компании «Интернет-розыск» Игорь Бедеров.
Мерные изменения
Присвоение операторам рангов никак не заставит их инвестировать в информационную безопасность, полагает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
— Реальным результатом этой новации может стать появление новых «кормушек» — операторов первого ранга, пользоваться которыми на платной основе придется всем остальным, — полагает эксперт.
А Игорь Бедеров считает, что мера снизит долю операторов персональных данных, которую государство способно контролировать.
— Миллион Telegram-ботов, которые незаконно обрабатывают персональные данные, государство отследить не может. Ему сложно бороться с хакерами, которые взламывают системы, — пояснил эксперт. — И если уменьшится количество официально заявленных операторов персональных данных, то под эту меру не попадет никто их тех, кто находится в серой или черной зоне.
Если ограничить число операторов персональных данных, то нужно будет устанавливать требования по такой работе с информацией для малого и микробизнеса, считает генеральный директор Datananny Иван Линдберг.
— Такой бизнес может в большинстве лишиться статусов операторов, — сказал он.
Впрочем, Игорь Бедеров отметил, что часть операторов в реестре Роскомнадзора и так могут быть «полумертвыми».