Цена вопроса
Бизнес-консультант по информбезопасности Positive Technologies Алексей Лукацкий о защите от утечек данных
За 2022 год в России зафиксировано рекордное количество утечек данных российских пользователей. Наши наблюдения показывают, что только в третьем квартале более чем в каждой второй атаке (53%) организации сталкивались именно с утечкой конфиденциальной информации. Летом в интернете были обнаружены базы данных 75 отечественных компаний. При этом нельзя забывать, что многие данные уже были в интернете и без утечек. Например, пользователь указывает в соцсети отчество и номер телефона, дает согласие на получение рекламных рассылок при покупке товаров, приобретении услуг и т. д. Поэтому реальный ущерб подсчитать невероятно сложно.
Чаще всего такие утечки происходят не из-за несоблюдения правил кибербезопасности, а из-за внешних атак. Многие организации отмечали атаки из-за границы. Они происходили и раньше, но в первую очередь по финансовым мотивам, в этом же году речь идет скорее о политике, повышении тревожности у населения и потере деловой репутации компаний.
Чаще всего виновными в утечках оказываются не сами компании, а так называемые внешние факторы. Тем не менее эти инциденты привели регуляторов к мысли о необходимости внесения изменений в законодательство, одно из которых оборотный штраф за утечку персональных данных. И согласно обсуждаемому законопроекту, компании будут нести ответственность за сам факт утечки, а не за неисполнение практик в области кибербезопасности.
Больше ни для кого санкции не предусмотрены, хотя ситуации могут быть разными. Например, при появлении где-то на хостингах файла с данными из утечки нужно активное вовлечение регулятора, чтобы заблокировать домен. Потому что полномочий по разделегированию доменов у обычных компаний нет.
К сожалению, утечки были и будут, базы собираются консолидированно из разных источников. И тем более в такой ситуации некорректно говорить, что ущерб возникает именно из-за утечки какой-то конкретной компании. Когда что-то утекает у одного игрока — это тень на отрасль в целом.
Обсуждаемые сейчас оборотные штрафы ведут к кардинальному росту затрат для организаций, но не к росту эффективности, защите от утечек. В конечном итоге они не помогают пользователям и не защищают их от потери чувствительной информации. Все-таки у законодательства должна быть иная цель — не наказание за утечку данных, а повышение уровня их защищенности и уменьшение числа инцидентов.
Между тем введение оборотного штрафа может стать еще одной сильной финансовой мотивацией для хакеров — компании будут готовы платить за сокрытие факта взлома, лишь бы не получить огромный штраф, который затормозит инвестиции в развитие бизнеса, в том числе и в защиту информации.
Более эффективным было бы направить эти деньги не на штрафы, а на действительно важные проекты по усилению безопасности, прохождение регулярных аудитов, киберучения и так далее. Те, кто сделал все возможное для защиты, но все равно столкнулся с фактом утечки, не должны нести такую же ответственность, как и те, кто не вложился в безопасность.
Кроме этого, у многих компаний есть программы по поиску уязвимостей — bug bounty, которые позволяют премировать этичных хакеров, которые находят проблемы в сервисах и направляют свои ресурсы не на продажу данных и уязвимостей, а на усиление безопасности пользователей в конечном итоге. Большие оборотные штрафы могут быть, но только для тех, кто действительно халатно относится к безопасности.