В 2023 году в России в 40 раз увеличилось количество утечек персональных данных с 2021 года. Законодатели планируют ужесточить меры ответственности бизнеса в случае компрометации пользовательских данных. Рассказываем о ситуации с информационной безопасностью (ИБ) в России и каких новых штрафов ждать компаниям в 2024 году.
Ситуация с утечками информации в 2022–2023 году
По данным представителей Роскомнадзора, после начала СВО хакерские атаки только участились. В ведомстве считают, что тенденция не связана только с деятельностью операторов личных данных (в России их насчитывается 5,5 млн). Дело в том, что сведения являются объектом внимания киберпреступников.
В последние три года были скомпрометированы информационные базы с разными личными данными, вплоть до анализов, займов и истории заказов продуктов.
В 2022 году отмечены утечки в «Яндекс.Еде», Delivery Club, СДЭК и других сервисах доставки. В январе–апреле 2023 года чаще утекали сведения из ритейла и в меньшей степени из ИТ и госструктур.
Самые громкие случаи утечки личных данных за 2023 год:
-
программы лояльности «Спасибо» от Сбербанка — 52,5 млн;
-
сети по продаже одежды для спорта «Спортмастер» — 46 млн;
-
онлайн-аптеки zdravcity.ru — 8,9 млн;
-
сервиса «Кассы.ру» — 4,5 млн;
-
магазина ювелирных изделий Zoloto585 — 9,9 млн;
-
страховщика «Согаз» — 8,3 млн записей.
Еще одно громкое дело за 2023 год — утечка данных миллиона пользователей МТС Банка. В сеть было слито 3 файла с персональной информацией клиентов. Первый включал миллион строк с именами, номерами, полом, ИНН и гражданством клиентов. Во втором было три миллиона записей с типами, частью 16-значных номеров карт и датами из выпуска. Третий файл включал 1,8 млн телефонов, 50 000 e-mail и пользовательские идентификаторы.
По данным отчета «Лаборатории Касперского», за январь–октябрь 2023 года отмечено 133 случая опубликования баз данных компаний из России. Всего скомпрометировано свыше 5 000 строк, получивших резонанс в СМИ. По сравнению с отчетным 2022-м, число объявлений о компрометации сведений уменьшилось, при этом объем опубликованных сведений продемонстрировал рост сразу на 33%.
По данным компании F.A.С.С.T., за 2023 год в Телеграм-каналах появилось 246 новых нелегальных БД компаний. В 2022 число утечек отмечено на уровне 311. Но, если в 2022 году киберпреступники воровали сведения даже у малого бизнеса, то в прошлом году фокус внимания сместился на крупные компании.
Суды вынесли решения на основании 87 протоколов. Сумма штрафных санкций превысила 4,6 млн рублей в 2023 году.
Группировка Kiborg объявила о компрометации данных более 38 млн клиентов Альфа-банка. Слив данных якобы произошел в октябре 2023 года. Как минимум три клиента, оформившие текущие счета в 2023-м, нашли в слитой БД свои даты рождения, номера счетов, картсчета, телефоны и адреса. Банк утечку опроверг.
Почему увеличилось число случаев компрометации данных
Рост количества компрометации личной информации эксперты связывают с трудностями обновления ПО на фоне санкций. Это спровоцировало появление разных уязвимостей в 2022–2023 годах. Сыграли роль и утечки, случившиеся в 2021 и 2022 годах. Хакеры изучили профили и пользовательские предпочтения, чтобы успешнее проводить фишинговые атаки.
Еще одной причиной большого количества хакерских атак на пользовательские данные в 2021-2023-х годах являлось отсутствие существенных оборотных штрафов. Предприниматели недостаточно позаботились о защите информации, даже на фоне анонса законопроекта о поправках в КоАП, который обсуждался с весны 2022 года.
Несмотря на рост утечек личных сведений, число скомпрометированных строк в БД за январь–апрель 2023 года сократилось до 65 млн записей. В отчетном периоде 2022 года их было 100 млн штук.
В Роскомнадзоре еще в августе прошлого года предложили представителям бизнеса сократить перечень запрашиваемых персональных сведений, ограничившись лишь ключевой информацией для реализации товара или оказания услуги физлицу. В ведомстве также рекомендовали уничтожать данные сразу после достижения целей их обработки. Еще одна рекомендация — применять собственные средства обработки данных, не прибегая к сторонним источникам.
В правительстве порекомендовали обратиться в Минцифры для получения разъяснений по рекомендациям Роскомнадзора.
Какие штрафы планируют ввести для представителей бизнеса
Операторы данных сегодня сами определяют должный уровень защиты пользовательской информации. Многие компании выполняют минимальные законодательные требования, установленные для конкретных отраслей.
Действующие меры за утечку информации, предполагающие штрафы до 100 000–300 000 рублей для компаний, не работают. По данным секретаря генерального совета «Единой России», на черном рынке фигурирует порядка 20 000 баз данных. В них содержатся сведения о 80% россиян. Ущерб за прошлый год превысил восемь миллиардов рублей.
4 декабря 2023 года в Госдуму РФ внесли две законодательные инициативы, направленные на ужесточение ответственности юрлиц в случае компрометации личных данных пользователей.
Законодательная новелла предполагает корректировки статьи 13.11 КоАП. А именно — усиление штрафных санкций за слив БД.
Авторы законопроекта предложили ввести усиленные штрафные санкции за утечку данных для юридических лиц. Штрафы зависят от числа субъектов данных:
-
от 1 000 до 10 000 — от трех до пяти миллионов;
-
от 10 000 до 100 000 — от пяти до 10 млн;
-
более 100 000 — от 10 до 15 млн рублей.
Ответственность за повторное нарушение — оборотный штраф в размере 0,1–3% годовой выручки (не менее 15 млн, максимум — 500 млн рублей).
Второй проект предполагает ответственность по УК РФ за несанкционированное использование, передачу, сбор и хранение пользовательских данных. Под запрет также попадает создание инфоресурсов, на которых размещаются такие сведения.
Авторы инициативы считают возможным добавить статью 272.1 в УК РФ. Самое незначительное наказание по ней — штраф в размере 300 000 рублей. Также нарушителям грозит тюремное заключение на период до десяти лет, если компрометация сведений повлекло за собой тяжкие последствия, а именно — вред жизни и здоровью граждан. За создание нелегального ресурса предусматривается санкция до 5 лет заключения под стражей и штраф до 750 000 рублей.
23 января 2024 года Госдума приняла в первом чтении эти законопроекте. С момента внесения проектов на рассмотрение 4 декабря 2023 года, Роскомнадзор зафиксировал 18 фактов компрометации данных (более 517 млн записей). Только с начала 2024 года представители ведомства отмечено восемь утечек.
А еще перед Новым 2024-м годом депутаты предложили поправки в Закон «О связи», согласно которому представители Роскомнадзора смогут проводить внеплановые проверки утечек сведений. Соответствующий законопроект № 518022-8 был внесен в Госдуму 22 декабря 2023 года. Законодательная инициатива также позволит регулятору проверять исполнение законов без учета моратория на внеплановую проверку IT-компаний.
Проблема сохранности персональных данных остается острой. Утечки фиксируют представители компаний, государство и пользователи.Законодательные инициативы. конечно, не сведут возможные риски к нулю, но усиление ответственности и ужесточение штрафов показывает, насколько важна безопасность пользовательских данных.
Представители бизнеса и сами осознают риски, повышая затраты на кибербезопасность. По данным опроса «Лаборатории Касперского», к 2025 году компании планируют увеличить расходы на ИБ на 14%. Аналитики прогнозируют рост рынка ИБ по итогам минувшего года до 15-20% и оценивают суммарные объемы рынка кибербезопасности в 254 млрд рублей.
