Власти предложили ввести оборотные штрафы за утечки персональных данных. Нынешние «ситуацию кардинальным образом не спасают», признал глава Минцифры Максут Шадаев. Крупнейшие утечки обходятся бизнесу всего в несколько сотен тысяч рублей, и этого недостаточно, соглашаются юристы. Но одного ужесточения мало, необходимо научиться расследовать инциденты. А для многих компаний оборотные штрафы равносильны закрытию. Как бизнес хранит персональные данные своих клиентов? И почему тогда они «утекают»? Об этом — Иван Корякин.
Фото: Анатолий Жданов, Коммерсантъ
О мизерных штрафах за утечки персональных данных говорят последние несколько лет. Скандал с сервисом «Яндекс.Еда» — это лишь очередной эпизод. До этого, например, была утечка в Oriflame. Тогда хакеры выставили на продажу более миллиона сканов паспортов ее клиентов. За это компанию оштрафовали на 30 тыс. руб. «Яндекс.Еда» рискует попасть на все 100 тыс. руб. за номера телефонов, электронные почты и адреса.
«Мы должны наказывать большим рублем»,— заявил министр Шадаев. То есть оборотным штрафом. Так это работает в Европе, что и вынуждает бизнес ответственно подходить к защите данных, говорит партнер компании «Томашевская и партнеры» Роман Янковский: «Если нет ответа за какое-то действие или он символичен, то организации не будут тратиться на безопасность данных. Господин министр говорит как раз про иностранную практику, имея в виду, вероятно, европейский GDPR, регламент по персональным данным, который как раз направлен на предотвращения таких утечек».
Здесь начинаются нюансы: в Европе, перед тем как оштрафовать, проводят расследование, устанавливают степень вины компании, смотрят, сколько она тратила на кибербезопасность. Размеры штрафов за взлом извне или халатность будут различаться.
В России же непонятно, кто и как будет расследовать инциденты. И, главное, за что будут штрафовать: за факт утечки или за невыполнение требований к хранению данных — их устанавливают власти, говорит консультант по интернет-безопасности компании Cisco Алексей Лукацкий: «Будут ли меня наказывать, если произойдет утечка, даже если я выполнял все требования, или нет?
Пока ответа на этот вопрос не найдут, на мой взгляд, никто особо сильно менять свою практику защиты тоже не будет.
Странно, когда мне говорят делать только так, а если у меня все равно произойдет утечка, меня еще и накажут».
Что касается самого бизнеса, то ему «оборотные штрафы» из уст министра уверенности не добавляют. Хотя за безопасность данных своих клиентов собеседники “Ъ FM” не переживают. Владелец отеля «Гельвеция» Юнис Теймурханлы за постояльцев спокоен: «Мы используем иностранный софт Oracle. Здесь высочайшие стандарты, шифруются номера и серии паспортов, кредитные карты, вся личная информация».
А вот тем, кто решения от того же Oracle не купил, будет сложнее — корпорация, как и многие другие, приостановила продажи своих продуктов.
Расходы на безопасность и без оборотных штрафов растут. Особенно в тех организациях, где хранят не только персональные, но и биологические данные, как, например, в Genotek, говорит ее сооснователь и директор по развитию Артем Елмуратов: «Мы в свою очередь очень трепетно относимся к данному вопросу, проходим аудиты. Это немаленькие деньги, но нельзя сказать, что и большой процент от оборота. Понятое дело, основные затраты компании уходят на другое».
Но аудит и программное обеспечение не всегда застрахуют от человеческого фактора — это может быть месть сотрудника или неосторожность клиента.
Такое даже в фитнес-клубах бывает, говорит основательница сетей «Оранжфитнес» и «Ситифитнес» Анастасия Юсина: «Часто клиенты сами начинают переписываться с нашими менеджерами, сотрудниками со своих личных телефонов. Затем, когда, например, тренер уходит, имея информацию о клиентах, нам начинают рассказывать о том, что мы передали телефоны без разрешения коллегам из другого клуба».
Собеседники “Ъ FM” соглашаются, что гарантировать стопроцентную защищенность персональных данных невозможно. Слишком много факторов для введения оборотных штрафов решением правительства.