Лидером рейтинга, составленного экспертами аналитического центра InfoWatch, стали США. По данным аналитиков, за первое полугодие текущего года было зарегистрировано 59 случаев утечки конфиденциальных данных из российских компаний и госорганизаций. В списке пострадавших оказались МТС, ВТБ 24, РЖД, СОГАЗ, а также Apple, Google и Microsoft. Как отмечают эксперты, с начала этого года более 260 млн записей персональных данных попали в третьи руки. В их числе и платежная информация. Гендиректор компании Group IB Илья Сачков ответил на вопросы ведущей «Коммерсантъ FM» Светланы Токаревой.
Фото: Александр Коряков, Коммерсантъ / купить фото
— Как вы прокомментируете эту, я бы сказала, весьма тревожную статистику?
— Очень похоже на правду. Дело в том, что культура отношения к информации в России по-прежнему не очень сильно развита.
Еще причина в том, что ответственность за утечку практически отсутствует. По закону о персональных данных, штраф сейчас за утечку составляет в районе 40 тыс. руб. Поэтому люди, которые отвечают за их сохранность, фактически понимают, что даже если произойдет что-то плохое, то их ответственность будет крайне мала.
В целом, похоже на правду. Утечек достаточно много. И, несмотря на хорошую развитость рынка информационной безопасности в России, культура людей, которые отвечают за безопасность, по-прежнему остается где-то в начале 2000-х годов.
— То есть недостаточно профессионально борются с мошенниками?
— Вы знаете, профессионалов достаточно много. Ну, то есть если вы понимаете, что ничего страшного не случится, даже если данные утекут, то ничего и не произойдет. В Америке за утечку персональных данных, во-первых, компания получит очень большой штраф, во-вторых, она может просто уйти с рынка. В России — ну, утекли персональные данные. То есть мы по-прежнему сейчас можем прийти, например, на Савеловский рынок и найти там практически все базы данных, которые касаются нас с вами: кредитные истории, данные по телефонам за какой-нибудь 2013-2014 год, штрафы ГИБДД, какие-то страховые случаи, медицинские, информацию по медицинским страховкам. Почему эта информация там? И почему она продается достаточно свободно? Это же хороший вопрос. Потому что люди, которые физически отвечают за ее сохранность, не несут ответственность, в особенности государственные органы.
— То есть нет какой-то серьезной заинтересованности в том, чтобы бороться с этой утечкой?
— Как бы она по идее есть, потому что даже закон появился о защите персональных данных. Но задача в комплексе не решается. И вроде инициатива хорошая, но она не до конца завернута в нормальную оболочку.
— Есть ощущение, что какое-то халатное отношение к борьбе?
— Абсолютно точно, после утечки персональных данных по-хорошему нужно проводить расследование, наказывать виновных, потому что, например, информация о медицинских страховых случаях, когда находится в интернете либо продается на закрытых форумах, — это достаточно жестко по отношению к людям, которые доверили эту информацию страховым компаниям. И людей, которые отвечают за сохранность, или страховую компанию надо серьезно наказывать, потому что это может очень сильно повлиять на дальнейшую жизнь человека. Информация о заболеваниях, то, что его не могут брать на работу — сами понимаете, там очень много и личных может быть вещей. Поэтому в цикл должен добавиться такой элемент, как ответственность за утечку, тогда Россия уйдет из лидеров этого списка.
— А насколько часты у нас случаи сговора, допустим, между представителем определенной компании, где произошла утечка, и мошенниками?
— Они достаточно часты, особенно если мы говорим о том, что сейчас кризис, люди становятся более агрессивными, особенно сотрудники компаний, ищут дополнительные способы монетизации.
Кому-то сократили зарплату, кого-то просто сокращают, и они ищут возможность продать ту информацию, к которой они получили доступ во время работы.
И таких объявлений в интернете мы видим достаточно много: продаю базу такую-то, продаю базу такую-то. Цены абсолютно разные — от нескольких тысяч рублей до полумиллиона долларов. Поэтому сговор существует.
Я бы не сказал, что очень много случаев, когда информацию выносят под заказ, вот такие конкурентные вещи, когда кто-то заказывает что-то. Чаще всего это то, что видим мы: это недовольные сотрудники, нелояльные сотрудники, которые либо хотят сделать какой-то саботаж, либо хотят просто получить дополнительные деньги за ту работу, которую они уже делают.
— Что же нужно сделать, как с этим бороться, чтобы наши компании начали более ответственно относиться к таким утечкам?
— Ввести ответственность за утечку персональных данных значительно серьезнее, нежели сейчас, и каждый раз тщательно проводить расследование, и обязать компанию сообщать об утечке персональных данных, то есть повторить, грубо говоря, некоторые европейские либо североамериканские страны. После этого рост утечек значительно падает. Россия же на втором месте не по количеству утечек, а по количеству публичных утечек. Почему Америка на первом месте — потому что там компании обязаны об этом сообщать. То, что стало известно коллегам из InfoWatch, — это то, что просто вылезло каким-то образом в интернет. На самом деле утечек значительно больше, поэтому ответственность, расследование и обязательная огласка.