Анастасия Федорова, КРОК: Не все компании уделяют внимание реальной защите

В 2022 году тема утечки персональных данных стала не просто актуальной – она превратилась в тренд. Раньше основным мотивом действий злоумышленников было желание заработать, но сейчас их гораздо больше интересует сам факт публикации защищенных данных в открытый доступ. Руководитель групп аналитики, аудита и техподдержки ИБ КРОК Анастасия Федорова рассказала Cyber Media о том, как государство и частные компании борются с утечками персональных данных.

Cyber Media: Весной 2022 года в России произошло сразу несколько громких утечек. Это совпадение или воплощение некого подспудного тренда?

Анастасия Федорова: По данным Роскомнадзора с начала 2022 года в открытый доступ попало не менее 40 баз данных с ПДн россиян. И это только официальная информация от регулятора. При этом аналитики сообщества ИБ считают, что их количество значительно больше – более 50. Самые громкие утечки, произошедшие за последнее время, это базы Яндекс.Еды, СДЭКа, Delivery Club, Гемотеста, Почты России, «Умного дома» от Ростелекома, Tele2 и т.д. Они получили максимальную огласку и вызвали резонанс в обществе. К ряду компаний были предъявлены коллективные иски от субъектов персональных данных, а к операторам – штрафные санкции со стороны регулятора.

К сожалению, не все организации, данные которых оказались в открытом доступе, предоставили объяснения причин утечек. Кроме того, не ясно, какие меры они предпримут для их предотвращения в будущем. Наблюдается тенденция непризнания вины операторов за утечки, либо игнорирование самого этого факта, а компании дающие объяснения в основном ссылаются на хакерские атаки и взломы.

Также не все операторы уделяют внимание реальной защите и обеспечению безопасности данных субъектов. Даже те компании, которые реализуют требования законодательства о персональных данных, делают это зачастую формально с упором на «бумажную» составляющую, а есть операторы, которые даже и таких мер не выполняют. Возможно поэтому с весны этого года число кибератак на системы и интернет-ресурсы нашей страны серьезно возросло, и, как это ни печально, такая ситуация с утечками становится трендом.

Cyber Media: В чем мотивация злоумышленников, которые выкладывают данные в открытый доступ? Ведь, казалось бы, продать их было бы выгоднее, чем сделать всеобщим достоянием?

Мотивация злоумышленников за последние полгода, действительно, изменилась на диаметрально противоположную. И если раньше они стремились заработать, то теперь – опубликовать. Связать это можно с желанием нанести максимальный ущерб компаниям, вызвать общественный резонанс и возмущение субъектов персональных данных, а не получить материальную выгоду.

К сожалению, все больше утекших баз данных содержат актуальную информацию. А этим, в свою очередь, пользуются мошенники, атакующие уже не компании, а субъектов, данные которых оказались в открытом доступе.

Cyber Media: В Госдуму внесен законопроект об усилении защиты ПДн. Как бы вы оценили потенциал этих мер? Смогут ли они действительно повысить безопасность ПДн и защитить от будущих утечек?

Анастасия Федорова: Федеральный закон 266-ФЗ, который был направлен на рассмотрение в Государственную Думу 6 апреля, а уже 14 июля принят – одно из самых обсуждаемых изменений в законодательстве о персональных данных за последнее время. Комитет, выдвинувший эту инициативу, основным аргументом в ее пользу называл как раз повышение защищенности данных субъектов, особенно при трансграничной передаче. Нововведения обусловлены текущей обстановкой и направлены в основном на предотвращение утечек ПДн и ужесточение функций государственного контроля над трансграничными потоками передачи данных.

К изменениям, которые помогут повысить защищенность данных можно отнести новые нормы, которые касаются обязательного внесения требований по обеспечению защиты и конфиденциальности данных в договорооборот с лицами, осуществляющими обработку по поручению оператора, а также то, что теперь операторы могут запрашивать отчеты и подтверждающие данные о реализации таких мер и сами контролировать их реализацию. С учетом того, что часть утечек связана как раз с передачей данных от оператора контрагентам, эти изменения очень своевременны.

Еще одна значительная часть нововведений нацелена на обеспечение прозрачности, позволяющей регулятору контролировать, реализуют ли операторы ПДн необходимые меры для защиты данных, а также устанавливают обязанность информировать регулятора в случае утечек персональных данных. Несомненно, большинство нововведений потребуют от операторов значительных затрат на их реализацию.

Cyber Media: Какие меры коснутся наибольшего количества российских компаний? Какие будет сложнее всего выполнить?

Анастасия Федорова: Изменения коснутся всех операторов персональных данных. Максимальное число правоприменительных вопросов сейчас вызывает полностью измененная часть о трансграничной передаче персональных данных, вступающая в силу в марте 2023 года. И тут, конечно, будет очень важна позиция регулятора. Как быстро будут рассматриваться уведомления о трансграничной передаче, какое будет число отказов и ограничений трансграничной передачи, и в каких случаях. Можно ли будет один раз указать сразу несколько стран и целей, или нужны будет это делать несколько раз. На все эти вопросы получим ответы, скорее всего, ко второму полугодию будущего года.

Также ждем приказ со стороны ФСБ о порядке взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, когда станут понятны категории и критерии подключаемых компаний.

Но уже с сентября этого года все операторы персональных данных должны внести изменения в договоры с лицами, осуществляющими обработку ПДн по поручению операторов, сократить сроки реагирования на запросы субъектов ПДн, изменить в свои локальные нормативные акты в части обработки персональных данных.

И конечно же, операторы должны готовиться с марта 2023 года информировать Роскомнадзор об утечках, если они будут.

Cyber Media: Бизнес обсуждает перспективу оборотных штрафов за утечки. При этом один из экспертов рассказал Cyber Media, что в нынешнем виде формулировка не будет работать – регулятору придется доказывать, что тот или иной инцидент – это действительно утечка. В качестве сравнения приводится GDPR, который предусматривает штрафы за несоблюдение мер безопасности ПДн, а не за факт утечки. Ваше мнение, насколько реальный эффект эта коллизия может иметь при наложении штрафов?

Анастасия Федорова: Если рассматривать вопрос с точки зрения законодательства, то в этих случаях можно говорить о двух разных составах правонарушений:

1. Несоблюдение мер по безопасности ПДн. Это, безусловно, нарушение требований текущего законодательства, но сейчас такой состав правонарушения отсутствует.
2. Утечки ПДн. Они могут быть как из-за непринятия оператором мер по защите, так и из-за атак на операторов, не принявших все возможные меры по обеспечению безопасности. И, безусловно, в случае утечек нужно будет доказывать, что оператор не выполнил то, что должен был по закону.

Хочется отметить, что на текущий момент в Кодексе об административных правонарушениях не предусмотрено состава именно за утечки персональных данных. Ответственность, к которой на текущий момент привлекают операторов, допустивших утечку – это несоответствие целям обработки ПДн и в случаях, не предусмотренных законодательством.

Для нашей правовой культуры оптимальным наказанием за правонарушения в данной области было бы введение значительных штрафов за непринятие оператором необходимых мер по защите ПДн, а также отягощенного состава правонарушения с более высокими штрафными границами – это когда данное непринятие мер повлекло за собой утечку данных.