За утечку персональных данных начнут штрафовать и сажать
Минцифры планирует в апреле внести в Госдуму два законопроекта, которые вводят оборотные штрафы для компаний - от 5 до 500 миллионов рублей - за утечку персональных данных, а также уголовную ответственность за кражу и продажу такой информации. О том, как нововведения повлияют на действия инсайдеров, мы расспросили Игоря Ашманова, известного эксперта по информационной безопасности, члена Совета при президенте РФ по развитию гражданского общества и правам человека.
Игорь Станиславович, насколько важно ужесточить наказание за утечку?
Игорь Ашманов: Очень важно. Пока у нас пытаются решать проблему конечного звена, когда мошенник уже звонит гражданину, но задайте себе вопрос: почему он знает о потенциальной жертве не только ФИО, номер мобильника, но и нередко номер кредитного договора, предварительно одобренную сумму? По данным "Лаборатории Касперского", в Даркнете в прошлом году оказались данные примерно 100 миллионов россиян. Почему за это никто не ответил?
Что чаще становится причиной утечки: взлом серверов или все-таки вор внутри компании?
Игорь Ашманов: На мой взгляд, второе, хотя принято списывать любые утечки на внешние атаки. Вот представим: сидит какой-нибудь айтишник в телекоме, банке, службе такси, мечтает о легком доходе. Выходит в Даркнет, обнаруживает на хакерском форуме запрос на данные клиентов с определенным уровнем дохода, вступает в сговор с преступниками. Ему плевать, что пострадает его работодатель, конкретные люди, он уже заработал и может уволиться хоть сейчас и тут же найдет другое место. К сожалению, многие айтишники мыслят так: "Меня окружают простаки, которые не в состоянии даже телефон настроить, а я умный, лучше разбираюсь в технологиях, поэтому мне можно гораздо больше".
Игорь Ашманов: Когда айтишник крадет данные пользователей, он не испытывает угрызений совести. А должен испытывать острый страх - нам нужны показательные судебные процессы. Фото: Антон Денисов/РИА Новости
Зачем покупают данные в Даркнете: чтобы ограбить или вызвать социальный взрыв?
Игорь Ашманов: До 80-90 процентов преступных контакт-центров находится на Украине. Эта страна за последние 15 лет стала диким полем, откуда не выдают преступников, в том числе кибермошенников. При этом у них достаточно людей с хорошим математическим образованием. В начале 2000-х они вместе с нами создавали легальный рынок поисковой оптимизации и управления контекстной рекламой. Однако быстро переквалифицировались, когда появилась возможность безбоязненно заработать на перепродаже "мутного" трафика со взломанных аккаунтов, скликивании рекламы (намеренном искажении статистики рекламного трафика), взломе телефонов, создании спам-сайтов, атаках. А с февраля 2022 года вообще переключились на войну. Прямая задача - вызвать нестабильность, беспорядки, социальный взрыв в России и Беларуси.
Почему так легко происходит утечка?
Игорь Ашманов: Сами операторы персональных данных ими торгуют. Мне, например, регулярно прилетает предложение то от одного, то от другого крупного телекома: "Мы готовы продавать вам маркетинговую информацию о наших абонентах: какие торговые центры и рестораны посещали, куда ездили, какие СМС посылали, покупки совершали". Длиннющий список, единственное, что не открывают, - номер телефона. Это грубое нарушение 152-ФЗ о персональных данных. Надо понимать: если для компании в норме торговать такой информацией, то какой-нибудь сисадмин или маркетолог абсолютно естественно воспринимает абонентов просто как векторы свойств, а какие у векторов могут быть права? Поэтому, когда айтишник крадет данные пользователей, он не испытывает угрызений совести. А должен испытывать острый страх - нам нужны показательные судебные процессы.
То есть вы за уголовное наказание?
Игорь Ашманов: Насколько мне известно, мобильные операторы сопротивляются внесению поправок в УК РФ про незаконный оборот персональных данных. Но представим, что оставят только административную ответственность. Разве сотрудников-инсайдеров волнуют штрафы, наложенные на компанию? А компании просто внесут эти весьма маловероятные оборотные штрафы в виде рисков в свои бизнес-планы вместо усиления защиты. Кроме того, в рамках административных дел нельзя проводить оперативно-розыскную деятельность, делать выемку корпоративной почты, мессенджеров и логов доступа, то есть реальный источник утечки определить не удастся.
В Свердловской области в прошлом году возбудили всего четыре дела по утечкам, в 2021-м - шесть. До суда добралось одно - бывшего топ-менеджера одного из отделений МТС-Банка, который продал информацию о 5,6 тысячи клиентов, не только своих, но и чужих. Его приговорили к 3,5 года колонии и пятимиллионному штрафу. То есть возможность ловить за руку все-таки есть?
Игорь Ашманов: Видимо, человек совсем зарвался. Проблема в том, что обычно такие факты замалчивают - удар по имиджу. Сотрудника просто тихо увольняют. У уголовного преступления в области персональных данных всегда есть две стороны: непосредственный исполнитель и его начальник, проявивший халатность. Если утечка происходит из госоргана, госкорпорации, ПАО с большой долей участия государства (среди них почти все федеральные банки и многие операторы связи), это именно халатность (ст. 293 УК РФ).
А салоны, которые продают сим-карты? Или посредники, доставляющие PUSH-сообщения?
Игорь Ашманов: Насколько мне известно, все крупные мобильные операторы окружены толстым слоем как бы независимых партнеров, предоставляющих различные неголосовые сервисы. Они тоже имеют доступ к персональным данным, а вот уровень ответственности у них гораздо ниже. На самом деле эти юрлица и ИП зачастую созданы коррумпированным менеджментом телекомов, это их "сопутствующий" бизнес. Я не утверждаю, что так делают все, но схема очень распространенная, причем зарабатывать может конкретный управленец, а не оператор в целом. На мой взгляд, до 90 процентов этих компаний можно спокойно закрыть и потребитель не почувствует разницы, а уровень безопасности повысится.
Сколько, по вашему мнению, операторов персональных данных достаточно на всю Россию?
Игорь Ашманов: Сейчас их примерно 40-50 тысяч, и большинству в принципе не нужно заниматься сбором и хранением личной информации. К примеру, розничным сетям: если они хотят предоставить скидку, достаточно просто выдать карту лояльности с анонимным номером.
Информация о гражданах должна концентрироваться у уполномоченных операторов, способных обеспечить защиту. По моей оценке, это не больше пары десятков крупных компаний, все остальные при необходимости идентификации клиента получают у них не персональные данные, а анонимный цифровой код. У сотрудников, имеющих непосредственный доступ к данным, должен быть такой же уровень ответственности, как у тех, кто работает с радиоактивными материалами, тогда и утечки прекратятся.
Матрица гипноза
Полиция и ЦБ много занимаются финансовым просвещением, но число киберпреступлений резко не снижается. Почему?
Игорь Ашманов: Дело не в просвещении, а в обеспечении базовой безопасности цифровой среды силами государства. Учить поголовно финансовой грамотности все равно что заставлять осваивать карате и айкидо, поскольку не хочется отправлять полицейских патрулировать улицы и наводить порядок. Люди всегда будут более уязвимы, чем те же банки. Даже образованный человек, который много читал про социальную инженерию, может попасть в когнитивную брешь. Например, у него личная катастрофа, депрессия, близкий родственник умер или на лечение денег не хватает. Кто-то в стрессе от работы, кого-то запугали, кому-то фальшивые "следователи прокуратуры" надавили на чувство долга: надо помочь разоблачить преступников.
Мне как-то пришлось спасать знакомого, между прочим, специалиста по информбезопасности. Собирались ехать вместе - он не садится в машину, ходит встревоженный взад-вперед по улице с телефоном у уха. Подхожу поближе и понимаю: прямо сейчас его разводят. На мои слова: "Это же мошенники, ты что, не понимаешь?" - он отмахивается, глаза затуманенные. Я просто мобильник вырываю у него из рук и посылаю звонившего по матушке. Так тот наглец еще 3-4 раза набирал: "Вы что, его удерживаете? Немедленно передайте трубку!" Помогло только занесение номера в "черный список".
Разве гипноз действует по телефону?
Игорь Ашманов: Я много общался с психотерапевтами. По их словам, любое общение "человек-человек" накладывается на матрицу гипноза. Чтобы вступить в контакт, мы должны найти "общую частоту" с визави и на нее настроиться. У преступников такой навык уже есть, они быстро тестируют абонента и понимают: пошло - не пошло. Важна общая конверсия: если из 100-200 быстрых звонков в день зацепишь двоих-троих и с каждого поимеешь от нескольких десятков тысяч до нескольких миллионов рублей, схема уже окупилась.