Увеличение штрафов за утечки персданных мера необходима, но не сработает Digital Russia dark web sites to buy cc, deep web credit card dumps

Об авторе: Лев Матвеев – председатель совета директоров компании «СёрчИнформ».
Восемнадцатого мая в свободном доступе оказались данные нарушителей самоизоляции в Москве. Подобные новости об утечках персональных сданных (ПД) появляются практически ежедневно, последнее время они, как правило, связаны с пандемией коронавируса. Если преступная статистика становится такой обыденной, может, пришло время заняться подобными инцидентами серьёзнее? Ужесточать наказание, вводить новые требования к информационной безопасности для операторов ПД.
Одной из таких мер может быть повышение штрафов за утечку данных. В начале марта Ассоциация юристов России предложила Госдуме и Роскомнадзору ужесточить ответственность за нарушения в сфере персональных данных: в случае утечки потерпевшие смогут требовать компенсацию от 500 тысяч до 5 миллионов рублей.
Но одно только увеличение штрафов в борьбе с утечками не сработает.
Мера необходима
ИБ-сообщество давно поднимает вопросы ужесточения ответственности за утечки данных. ФЗ 152 «О персональных данных» выполняется условно, штраф за нарушения символический – не больше 75 тысяч рублей (ст. 13.11 КоАП РФ). Он вряд ли напугает крупную телеком-компанию или, например, гостиничную сеть.
При этом ПД собираются даже без особой необходимости, особенно малым и средним бизнесом. Они копируют паспорта на проходных, собирают целый «цифровой профиль» человека для получения дисконтной карты: ФИО, телефоны, адреса. Но у сектора МСБ зачастую нет ресурсов, чтобы должным образом защитить информацию. В итоге массивы персональных данных, как минимум, начинают кочевать по рукам предприимчивых маркетологов. А как максимум – использоваться для серьёзного мошенничества.
Уверен, с увеличением штрафов желающих собирать ПД станет меньше. Однако я не согласен с суммами, которыми оперируют представители Ассоциации юристов России. Штрафы в 500 тысяч – 5 миллионов могут обанкротить и без того не сильно крепкий средний бизнес России. Тут нужен взвешенный подход. Опираться можно, например, на европейскую практику – Общий регламент защиты персональных данных (GDPR), согласно которому штрафы привязаны к годовому обороту компании-оператора ПД.
Почему одно лишь увеличение штрафов – не сработает
Проблема сохранности ПД не только в отсутствии штрафов и в нежелании операторов защищать информацию. Сказывается и отсутствие чётких регламентов от регуляторов, разрозненность рекомендаций, нехватка ИБ-кадров в стране и другие факторы.
Корень проблемы вижу в подходе к защите данных: у операторов ПД сложилось представление, что им угрожают хакеры, которые разрабатывают сложнейшие системы взлома, чтобы эти данные украсть. А статистика говорит, что в России около 70% утечек происходит при участии инсайдеров. И пока большинство операторов «воюет» с внешними врагами, внутренние враги сливают терабайты данных в даркнет.
Кнутом в виде миллионных штрафов эту проблему не закрыть. Поможет только комплексный подход к информационной безопасности, включающий:
Чтобы решить проблему, нужно всего лишь внедрять последовательно адекватные административные меры и обязательное защитное ПО. Забота профессионального сообщества и государства – инициировать эти изменения как можно скорее.
С чего начать?
В течение трёх лет ответственные чиновники, которых премьер-министр Михаил Мишустин назвал «цифровым спецназом правительства», должны будут внедрить «цифру» в органы власти и выстроить единую цифровую инфраструктуру. Ускоренная цифровизация потянет за собой повышение рисков информационной безопасности. Поэтому озаботиться защитой данных на государственном уровне придётся так же ускоренно. К сожалению, национальная программа «Цифровая экономика» лишь поверхностно касается этого вопроса.
Что странно, ведь если десятки тысяч записей ПД оседают в средней фирме, то государство в лице всех его министерств, ведомств, служб собирает просто невероятные объёмы информации. Здесь речь идет уже не просто о цифровых профилях граждан. Создается цифровой профиль государства, огромная информационная надстройка, со своими границами, законами, уязвимостями и, конечно, угрозами.
Сегодня у государства есть все ресурсы и возможности для эталонного использования инструментария защиты данных. А также есть рычаги для тиражирования отработанной практики и рекомендаций на остальных операторов ПД. И прежде чем ужесточить штрафы, нужно отработать обязательную базу по защите данных – законодательную и инструментальную – в первую очередь на государственном уровне.
Вместо итога
Решить проблему сохранности ПД в стране – реально, но думать, что это сделает точечная мера в виде ужесточения штрафов, по крайней мере наивно. Мы выведем безопасность страны на новый уровень только при комплексном подходе: внедряя регламенты информационной безопасности, охватив вопросы не только внешней, но и внутренней безопасности, привлекая к расследованиям и разработке регулирующих документов ИБ-практиков.
Далее останется спустить их «ниже» и ввести «порог входа»: если эти рекомендации и требования организацией не соблюдаются, то она не может собирать, аккумулировать, хранить и тем более передавать третьим лицам ПД.
dark web sites to buy cc deep web credit card dumps