Перекрыть слив: в России предложили ужесточить наказания за утечки персональных данных

<p><strong>В Совфеде разрабатывают новую версию законопроекта, устанавливающую ответственность за намеренное распространение персональных данных граждан. Наказывать за такие преступления предлагают штрафами до 3 млн рублей, а также лишением свободы на срок до 10 лет. Почему проблема утечек персональных данных в России становится всё актуальнее и помогут ли новые наказания решить эту проблему — в материале "Известий".</strong></p> <h2>Штрафы и сроки</h2> <p>О разработке новой инициативы сообщают СМИ со ссылкой на заявление члена конституционного комитета Совфеда и зампреда совета по развитию цифровой экономики при палате Артема Шейкина. Предыдущая версия законопроекта предусматривала штрафы до 2 млн рублей и уголовную ответственность до 10 лет лишения свободы в особо тяжких случаях. Теперь же парламентарии предлагают ужесточить эти наказания.</p> <p>"Считаю, что создатели таких платформ [которые распространяют персональные данные] должны отвечать по всей строгости закона, — сказал сенатор Шейкин. — В этой связи разрабатывается законопроект, предусматривающий штраф в размере до 700 тыс. рублей либо лишение свободы до пяти лет, либо принудительные работы на такой же срок".</p> <p>Если же личная информация распространяется организованной группой лиц, виновным будут грозить штрафы до 3 млн рублей вместе с лишением свободы на срок до 10 лет. Артем Шейкин отметил, что особое внимание в законопроекте уделено передаче личной информации россиян за рубеж. В этом случае сроки лишения свободы будут достигать восьми лет со штрафами до 2 млн рублей. Сенатор также призвал бороться не только с самими сливами персональных данных, но и с отдельными ресурсами, на которых распространяется подобная информация.</p> <h2>Базы для мошенников</h2> <p>Артем Шейкин отметил, что сегодня при вводе в поисковиках словосочетания "база слитых данных" легко можно найти огромное количество ресурсов. На них по номеру телефона, адресу e-mail и другим данным можно получить доступ к персональной информации десятков миллионов людей. "Такие базы открывают для бандитов и мошенников легкий путь для совершения преступлений, поскольку за считаные секунды они могут узнать всё о своих жертвах: адрес проживания, список родственников, финансовое положение семьи и многое другое", — подчеркнул Шейкин.</p> <p>При этом ранее Минцифры РФ разработало законопроект, вводящий оборотные штрафы для компаний, допустивших утечки персональных данных граждан. На первый раз штраф составит 5–10 млн рублей, а при повторном нарушении — до 3% от оборота компаний.</p> <p>Как говорит в беседе с "Известиями" исполнительный директор российской IT-компании HFLabs Константин Степанов, сегодня проблема сливов персональных данных становится всё актуальнее, поскольку самих данных становится всё больше — их собирают все, кому не лень. Если раньше персональные данные "поднимали" только по требованию регуляторов, то сегодня их аккумулирует каждая кофейня со своей программой лояльности, и это общемировой тренд.</p> <p>Другую причину выделяет главный специалист отдела комплексных систем защиты информации компании "Газинформсервис" Дмитрий Овчинников. По словам эксперта, за время пандемии Covid-19 многие компании перенесли свою работу из офлайна в онлайн, а также перестроили бизнес-процессы, чтобы идти в ногу со временем и быть представленными в Сети. Немало компаний укрупнилось и за счет менее удачливых конкурентов, получив их инфраструктуру и базы в незащищенном виде.</p> <p>- Нередко встречается мнение, что во время жесткой конкуренции за клиентов их можно потерять, если тратить деньги на безопасность, — объясняет Овчинников. — Из-за всех этих факторов и выросло число взломов корпоративных систем вкупе с утечками пользовательских данных.</p> <h2>Механизмы сливов</h2> <p>По словам адвоката московской коллегии адвокатов "Бородин и партнеры" Владислава Шурховецкого, утечки персональных данных пользователей могут происходить по двум причинам — из-за неосторожности или умышленного раскрытия информации. В первом случае персональные данные могут оказаться в свободном доступе из-за некомпетентности сотрудников компаний, а также технических сбоев и недостаточной защищенности баз.</p> <p>- Порой утечки случаются просто по недосмотру, когда слишком много людей внутри компании имеют доступ к данным или передают их в незашифрованном виде внутри организации, — объясняет в беседе с "Известиями" Константин Степанов.</p> <p>Что касается умышленного раскрытия информации, то тут возможны разные сценарии. Порой обиженный сотрудник может выложить в открытый доступ базу данных или использовать доступ к ним как инструмент для подработки, предоставляя злоумышленникам данные определенных людей (так называемый пробив). Дмитрий Овчинников отмечает, что помимо действий сотрудников компаний — инсайдеров — иногда причиной сливов персональных данных может быть и внешний взлом.</p> <p>- Порой оба этих фактора сочетаются вместе: кто-то внутри компании помогает внешнему злоумышленнику получить доступ к чувствительной информации, — поясняет специалист.</p> <p>По словам Владислава Шурховецкого, жертвой утечки персональных данных может стать любое лицо, имеющее аккаунты в социальных сетях, различных сервисах, интернет-магазинах, а также пользующееся сервисами доставок и такси. Киберпреступники чаще всего "охотятся" на социально-экономически активное население, в основном из крупных городов, поскольку такие люди чаще оставляют свои данные в разных компаниях. При этом сам бизнес в результате сливов несет репутационные потери.</p> <p>- Чем больше оборот компании и больше данных, тем более интересной целью становится организация, — поясняет Дмитрий Овчинников. — Лакомыми кусочками для злоумышленников являются банки, сотовые операторы и любые крупные компании, которые агрегируют у себя данные пользователей. Такого рода компании обычно уже имеют средства защиты в своем арсенале, однако это не гарантирует стопроцентной защиты от атак.</p> <h2>Борьба с утечками</h2> <p>Сегодня в российском законодательстве уже существуют наказания за утечки персональных данных. Тем, кто занимается пробивом, грозит ответственность по ст. 137 ("Нарушение неприкосновенности частной жизни") УК РФ, максимальное наказание по которой — пять лет лишения свободы. Что касается компаний, из которых утекли данные, то им грозят штрафы до 300 тыс. рублей в соответствии со ст. 13.11 КоАП РФ, рассказал Владислав Шурховецкий.</p> <p>- Компании, откуда произошли утечки, зачастую получают символические штрафы в масштабах крупного бизнеса, — говорит Константин Степанов. — Что касается распространения персональных данных россиян, то оно зачастую происходит в даркнете, причем людьми, которые находятся за пределами России, а значит, наказать их вряд ли получится.</p> <p>Владислав Шурховецкий считает, что меры, предложенные Совфедом, можно считать достаточно эффективными, поскольку в рамках законопроекта предлагается бороться не только с явлением сливов, но и с платформами, на которых эта информация размещается, в том числе за плату.</p> <p>Однако, по мнению Дмитрия Овчинникова, ужесточение наказаний за слив персональных данных может привести не к усилению мер безопасности в компаниях, а к сокрытию информации об утечках. Не исключено, что некоторые компании откажутся от бонусных программ и персонализации своих пользователей.</p> <p>- Увеличение уровня страха перед наказанием приведет лишь к усилению нежелания признаваться в своих ошибках на всех уровнях организации, — объясняет собеседник "Известий". — А не признав своей ошибки, нельзя ее устранить.</p> <p>Дмитрий Овчинников утверждает: лучшими способами борьбы с утечками являются повышение общего уровня ответственности на моральном уровне за обрабатываемые данные, бережное отношение к репутации компании и повышение компетентности сотрудников в области информационной безопасности. Только такой комплексный подход, когда происходит синергия между техникой и людьми, может существенно уменьшить количество утечек и их опасность для пользователей.</p>