67% компаний избегают публичных высказываний о произошедших инцидентах с утечкой данных

Эксперты «СёрчИнформ» – российского разработчика средств защиты данных – проанализировали ситуацию с утечками информации в отечественных компаниях за первое полугодие 2023. В частности, исследовали, как компании реагируют на утечки и сколько организаций уведомляет Роскомнадзор об инциденте.

По подсчетам компании «СёрчИнформ» на конец июня произошло 103* утечки. Чаще всего инциденты с конфиденциальными данными происходят в компаниях ритейла – более четверти от всех случаев. Каждый 12-й инцидент приходится на финансовые и ИТ-компании (в том числе те, что обслуживают государственных и около государственных заказчиков). Остальные утечки были выявлены в организациях сферы образования, общественного питания, промышленности, строительства, здравоохранения и других отраслей, чьи инциденты по количеству не превысили 2%. Вместе с персональными данными утекали исходные коды проектов, внутренняя документация, техническая информация, медицинские сведения, корпоративные адреса электронной почты и т.п. 88% утечек происходит в коммерческих организациях, 11% – в государственных, 1% – в НКО.

Подавляющее большинство организаций предпочитают воздержаться от комментариев в СМИ или публичных извинений на своем сайте или в блогах – это 67%. Полностью избежать комментариев чаще получается у малых компаний, чье имя еще не стало «брендом». Прямо подтвердить утечку в СМИ решила каждая 11 компания. Еще 7% компаний подтвердили утечку, но с оговорками о том, что утечка старая, была вызвана сторонним сервисом или содержала некритичные данные. Полностью отрицали утечку 5%, а 2% не смотря на отрицательный ответ СМИ, передали информацию об инциденте в Роскомнадзор.

После инцидентов организации восстанавливают работу сервисов, проводят проверку всех систем безопасности, при необходимости сбрасывают все пароли в системе, меняют ключи от серверов и сервисов, которые могли быть скомпрометированы, расследуют утечку и отправляют данные в Роскомнадзор. Публично о проверке компаний Роскомнадзор заявлял 23 раза, из них как минимум 5 организаций не уведомили ведомство об инциденте. За свежие утечки в первом полугодии были оштрафованы 3 компании. Все штрафы не вышли за пределы 60 тыс. рублей – это самая нижняя планка, от которой начинается наказание за утечку ПДн.

«На ситуацию с утечками сильно повлиял мораторий на проверки предприятий и предпринимателей. Компании, в которых хранятся огромные массивы клиентских данных: сфера услуг, локальный ритейл, микрофинансовые организации – это малый и средний бизнес. До них «руки» Роскомнадзора и раньше не всегда доходили, а с учетом запрета, за эти полгода и вовсе не было полномочий проверять компании.

В вопросе количества штрафов и их суммы я согласна с мнением депутата Александра Хинштейна. Штрафов и не должно быть много, они не источник наполнения бюджета, а превентивная мера и мотивация для руководителя компании задуматься о защите данных. Уже известен размер оборотных штрафов, их верхний предел составит 500 млн рублей. Сумма значительная, но это не единственная выплата, которая может грозить компаниям. После масштабной утечки в «Яндекс.Еда» начала развиваться судебная практика – некоторые пользователи подают исковые заявления в суд. Таких прецендентов пока не много, так как размеры компенсаций невысокие, есть сложности с оценкой «доказательств из интернета», но эту тенденцию нельзя сбрасывать со счетов. Даже компенсация в размере 5000 рублей при утечке более 100 тыс. строк и оплата потенциального штрафа могут равняться сумме, которая вполне сопоставима с бюджетом на покупку защитных решений, а у кого-то и превышает его», – поделилась Ольга Минаева, GR-директор «СёрчИнформ».

Громких инцидентов с исковыми заявлениями против операторов персональных данных в первом полугодии 2023 не было – ни одна компания не получила иск от клиентов, чьи данные были скомпрометированы.

* Данные были собраны из открытых источников: СМИ и Телеграм-каналов (@dataleak, @data1eaks, @in4security, @intosecurity). «СёрчИнформ» не исключает, что некоторые клиентские базы могли содержать не полностью уникальные данные и быть скомпилированы из других баз.