За утечкой баз данных РЖД разглядели внешние силы

Приведет ли это к имиджевым последствиям для компании

СК назвал причину утечки персональных данных сотрудников РЖД. Следствие полагает, что это стало результатом «несанкционированного проникновения неустановленных лиц в информационные служебные ресурсы». 27 августа стало известно, что служебная и личная информация 700 тыс. работников госкомпании оказалась в открытом доступе в интернете. Кто в итоге понесет ответственность? Разбирался Григорий Колганов.

Фото: Reuters

Одна из крупнейших утечек последнего времени: данные практически всех сотрудников РЖД попали в интернет. Помимо имен, фамилий и должностей, есть их домашние адреса, фотографии и даже номера СНИЛС. Из сообщения Следственного комитета можно сделать вывод, что виноваты во всем некие хакеры. Но директор департамента информационной безопасности АО «Национальная инжиниринговая корпорация» Лука Сафонов в этом сомневается. По его мнению, без вольной или невольной помощи изнутри такое вряд ли возможно: «Данные, во-первых, структурированы по подразделениям, во-вторых, совпадают фотографии. Доступ к этой информации, скорее всего, могли получить либо из компании, занимающейся системами контроля и управления, либо из какого-то централизованного хранилища, которое, например, оформляло их в ПФР или в какой-то другой фонд».

Собеседники “Ъ FM” пока не берутся судить, была ли это извечная русская безалаберность или базу сотрудников РЖД взломали в коммерческих целях. Да это и неважно, считает технический директор Qrator Labs Артем Гавриченков, отвечать все равно должна госкомпания, хранившая персональные данные: «Тот, кто допустил утечку персональных данных, несет ответственность.

Европейское законодательство не разделяет понятия “инсайдерская угроза” и “взлом извне”, на фирму в любом случае накладывается ответственность».

Но Россия — не Европа, поэтому о какой-либо определенной ответственности для РЖД говорить сложно. Пока непонятно даже, накажет ли госкомпанию Роскомнадзор как контролирующий орган в сфере персональных данных. Представитель службы не ответил на запрос “Ъ FM”. Потребовать через суд каких-либо компенсаций пострадавшим сотрудникам тоже будет весьма проблематично, для начала нужно будет доказать ущерб, говорит профильный адвокат Григорий Красовский. А если версия с хакерами станет официальной, с госкомпании и вовсе снимут все претензии. «Если правоохранительные органы устанавливают, что персональные данные хранились в соответствии с законом, но утечка произошла из-за так называемых хакеров, то нет оснований для предъявления претензий к работодателю, поскольку он также является потерпевшим»,— говорит Красовский.

Может быть, стоит говорить об имиджевых потерях для РЖД? Компания особо подчеркивала, что утечка не затронула данные клиентов. Но пассажиры, даже если захотят, не смогут отреагировать рублем на скандал с перевозчиком, констатирует председатель Ассоциации участников рынка данных Иван Бегтин: «Если бы это была одна из авиакомпаний, мы могли бы сказать: теперь пользуемся не розовокрылыми, а синекрылыми. Но РДЖ — монополист, и проблема заключается не в не утечках, их в течение даже года бывает более 100, а в тех, кто должен с этим бороться. Роскомнадзор заигрался в цензуру, а о профессиональных данных просто забыл».

Как стала возможной утечка информации из госреестров

Смотреть

И все же, кажется, имиджевые последствия будут, причем не только для РЖД. Государство в последнее время хочет знать все больше о населении: банки настойчиво просят биометрию, а в перспективе страна обзаведется солидной базой генетических паспортов. И то, какие масштабные утечки допускают при этом госкомпании, как-то не добавляет оптимизма гражданам — участвовать в экспериментах они не спешат.

Утечка в РЖД — вторая по масштабу в России с начала года. В мае оказались скомпромитированы данные 900 тыс. клиентов трех банков.

Вся лента