Масштабы утечек персональных данных в Сети за последние полтора года сократились — теперь под прицелом хакеров в основном оказываются мелкие компании, а также те, кто не успел принять меры информационной безопасности. С января 2023 года в Сеть утекли порядка 200 млн записей о россиянах, а компаниям, которые допустили эти инциденты, назначены штрафы на сумму более миллиона рублей. О том, как Роскомнадзор ведет борьбу с утечками, каким образом будет работать новый механизм выплаты компенсаций жертвам утечек, и о способах узнать об утечке своих данных в кулуарах Петербургского международного экономического форума (ПМЭФ) ТАСС поговорил с заместителем главы ведомства Милошем Вагнером.
— Милош Эдуардович, вы ранее рассказали, что с начала 2023 года в Сеть утекли уже порядка 200 млн записей о россиянах. Пусть масштабы утечек и снижаются, но это все равно много. Почему так происходит?
— Мы эту ситуацию четко увязываем с началом специальной военной операции (СВО). Ранее источником личной информации и персональных данных наших граждан были заблокированные в России запрещенные социальные сети. После блокировки зарубежных площадок западные спецслужбы лишились возможности сбора и анализа этой информации. Поэтому они пошли по пути взломов и кражи чувствительной информации, которая накапливается российскими организациями.
Пусть даже эти данные защищались, их безопасность была обеспечена в соответствии с требованиями нормативных документов. Однако до февраля прошлого года они не были объектом повышенного интереса людей, которые умеют взламывать такие системы. А с февраля — стал интересен буквально каждый оператор данных и каждый гражданин России. Ситуация с точки зрения хранения и обработки данных не поменялась, но при этом за данными о российских гражданах началась охота.
— А как объяснить пользователям, почему у хакеров по-прежнему получается добраться до данных? Меры противодействия же принимаются?
— Почему у них это получается — это вопрос к мерам информационной безопасности операторов персональных данных, компаний, которые их собирают. Это последствие многолетнего использования иностранного программного обеспечения и недостаточного развития своих IT-продуктов. Крупные организации за последние полтора года уже успели принять меры, а афтершоки сейчас докатываются до более мелких. Если посмотреть, то в прошлом году было гораздо больше масштабных утечек. Это видно на примере мая — в прошлом году раскрыли 35 млн записей, в этом мае 4 млн записей.
— Сегодня для компаний, которые допустили утечку персональных данных, есть административная ответственность — если это уже не первая утечка, компанию могут обязать выплатить до 300 тыс. рублей. Можно ли назвать сумму, на которую были оштрафованы российские компании в прошлом и текущем году?
— В прошлом году совокупный размер административных штрафов, наложенных судом, составил 2,15 млн рублей за все утечки, в этом году — 1,3 млн рублей.
— Вы ранее рассказывали, что в России может появиться механизм выплаты компенсации жертвам утечек данных. Расскажите, пожалуйста, подробнее, как будет работать такой механизм?
— На наш взгляд, справедлив был бы следующий механизм. Оператор, который выявил у себя реальную утечку данных, должен сам приходить через "Госуслуги" к своим клиентам и пользователям, сообщать о случившемся и предлагать компенсацию. Если этого не происходит, а вы видите, что на платформе, которой вы пользуетесь, произошла утечка, можно воспользоваться своими правами, которые прописаны в законодательстве еще с 2006 года. Обратиться напрямую к оператору с просьбой подтвердить или опровергнуть информацию об утечке ваших данных. Операторы обязаны в течение десяти рабочих дней вам эти сведения предоставить. Вам должен в ответ прийти официальный документ, поэтому обманывать никто не будет. За непредоставление этой информации есть своя административная ответственность.
— Будет ли ведомство вести какой-то единый реестр, где собрана информация об утечках и выплатах компенсаций пострадавшим?
— Совершенно точно нужен будет единый доверенный механизм, где будет собираться информация о том, кто получил уведомление об утечке своих данных, кто получил компенсацию, кто компенсирует, каков размер компенсации. И принципиальный момент тут в том, чтобы механизм компенсации не превратился в возможность для оператора уйти от серьезной административной ответственности, откупившись от человека купоном на скидку. Финальное слово должно было за тем человеком, чьи данные были скомпрометированы, — согласен он или не согласен с такой компенсацией. Чтобы оператор не просто экономически рассчитывал, выгодно или невыгодно ему платить что-то человеку, но и в полной мере оценивал все риски, которые повлекла утечка данных.
— А штраф, размер которого будет зависеть от выручки всей компании за год, для допустившего утечку оператора при этом все равно будет назначен, верно?
— Да, в том случае, если будет выплачена компенсация, и она удовлетворит тех людей, чьи данные были выложены в общий доступ, оператору может быть судом назначен штраф в минимальном размере. Важно, что получение такого снисхождения от суда будет происходить не автоматически — надо будет предоставить подтверждение, что в целом защита данных обеспечена, что вовремя уведомлены все органы по инциденту и т.д. Учитывая это, оператор должен понимать, какую сумму он готов выделить на компенсации.
Для тех же, кто украл данные и перепродает их, должна быть установлена уголовная ответственность. Но нужно понять, как быть с теми, кто незаконно их использует, например, для обогащения своих баз данных. Если крупные обработчики персональных данных заинтересованы в обогащении баз любыми способами, это неправильно. Уголовная ответственность должна быть и для такой деятельности, мы это поддерживаем.
— Есть ли похожие механизмы с выплатами компенсаций в других странах?
— Буквально на прошлой неделе видел исследование коллег, которые занимаются информационной безопасностью: они сделали подборку, сколько в Европе платят в случае утечек персональных данных — ФИО, адреса электронной почты и т.д. Там речь идет о сотнях миллионов евро. И это именно компенсация тем, чьи данные были скомпрометированы. Наша задача не в том, чтобы просто в бюджет поступили деньги, а в том, чтобы пострадавшая сторона, человек, почувствовал, что компании, которой он доверил свои данные, небезразлично его будуще.
— Как понять, что мои данные утекли? Допустим, я по количеству спам-звонков понимаю, что мой телефон явно куда-то утек, но я достоверно не могу сказать об этом. Как быть?
— Могу сказать, чего делать точно не нужно. Например, в Сети есть сервисы, чат-боты, которые предлагают вам проверить, утекли ли ваши данные, и в случае утечки удалить их из интернета. Разумеется, за деньги. Вот к ним обращаться точно не стоит. Судите сами — вы предоставляете им и свои персональные данные, и деньги. Соответственно, таким образом способствуете развитию бизнеса по продаже персональных данных на черном рынке. При этом данные ваши, даже если действительно утекли, никто не удалит с вероятностью 100%.
Да и в целом не стоит излишне тревожиться, даже если вам пришло уведомление от браузера, что ваш пароль якобы скомпрометирован. Лучше, конечно, его сразу поменять, но, во-первых, совершенно неточно, что им воспользовались, во-вторых, эти утекшие данные могут и вовсе быть уже неактуальными. Возможно, вы уже трижды пароль поменяли, а фигурируют только данные о самой учетной записи.
— А возможно ли вообще удалить утекшие данные из Сети, ограничить к ним доступ?
— Этой деятельностью и занимается Роскомнадзор. В первую очередь на постоянной основе мы проводим мониторинг Сети на предмет того, что в публичном доступе появятся личные данные россиян. И если обнаруживаем — ограничиваем доступ к ресурсам, которые их публикуют, на территории РФ. Но и на этом не останавливаемся. Далее направляем требования владельцам хостингов в тех странах, где эти данные размещаются, а также письма по международным каналам уполномоченным органам этих стран. Эти меры позволяют добиться того, что ресурсы, на которых бы хранились дампы с данными, "бегают" по доменам, по хостингам. Для того чтобы получить к ним доступ, нужно приложить немало усилий. Хочется верить, что все механизмы, которые сейчас обсуждаются в рамках борьбы с утечками, помогут в целом снизить их количество до минимума, если не исключить вовсе.