О допущенных в работе ошибках чаще говорят госорганизации, а не частные компании
Специалисты кибербезопасности «СерчИнформ» выяснили, что в РФ и других странах СНГ скрываются от общественности около 57% информационных утечек. И если госкомпании замалчивают факт утечки данных в 41% случаев, то компании частного порядка – в 60%. Показатели высокие, но год тому они были еще выше. При этом, по мнению специалистов в области кибербезопасности эти показатели являются очень оптимистичными. Со своей стороны, юристы говорят о том, что до тех пор, пока в стране не будет достаточно высоких штрафов за информационные утечки, а компании не будут платить пострадавшим компенсацию, ситуация лучше не станет.
Скрытые сливы
Как стало известно «СерчИнформ», 58 процентов отечественных компаний, в прошлом году хоть раз, но соприкасались с попыткой информационного слива. В организациях частного порядка третья часть подобных случаев была связана с компрометацией личных пользовательских данных. Их доля в госкомпаниях составила сорок процентов.
Согласно утверждению исследователей, количество организаций, которые сталкиваются с утечками, практически не меняется из года в год. В позапрошлом году от 59% компаний России поступила информация о том, что они столкнулись с попыткой слить данные. По мнению «СерчИнформ», это связано с тем, что организации слишком медленными темпами оснащаются специальным ПО, которое позволяет выявить и не допустить слив информации и утечки данных. Того темпа, который наблюдается сейчас, вполне хватает, чтобы процент оставался на одном уровне, но этого мало, чтобы его снизить.
К тому же, общественность о многих инцидентах даже не догадывается. Неизвестными для всех в России и других странах СНГ в среднем остаются 57%. Если государственные организации рассказывают о своих ошибках чаще и не озвучивают информацию в 41% случаев, то компании-частники молчат в 60% случаев.
Аналитики же говорят о тенденции снижения уровня замалчивания с каждым последующим годом. Так, в 2017 г. в 86% инцидентов о них не сообщалось, в 2019 г. – в 63%.
Статистические данные были получены на основании результатов проведенного в РФ и СНГ анкетирования. Среди опрошенных: директора и специалисты ИБ департаментов, отраслевые эксперты, руководители коммерческих организаций (71%), госорганизаций (26,5%), НКО (2%), специализирующихся в разных сферах деятельности.
Народный гнев
По мнению специалистов «СерчИнформ», об утечках стали говорить чаще в связи с тем, что становится значимым в имидже фирм общественный резонанс. Это относится и к госкомпаниям, и к компаниям частного порядка. Что касается вторых, то здесь преимуществом перед конкурентами является уровень информационной защищенности.
Аналитики говорят, что, если не будет информации об утечке или реакция на такую новость не последует, есть высокий риск общественного гнева. Люди спокойнее отнесутся к развернутому ответу, чем к разбирательствам после того, как сообщение появится в средствах массовой информации.
Я. Бабин, руководитель одного из отделов Positive Technologies, уверен, что сейчас, как и несколько последних лет, сильный общественный резонанс в соцсетях и информационных изданиях заставляет компании признать информационный слив или же утечку.
С тем, что замалчивать такие инциденты стало проблематично, согласны и в «Лаборатории Касперского», так как слишком много пристального внимания уделяется всему, что связано с личными данными. В результате, утечка, о которой какое-то время было ничего не известно, а данные продавались на специализированном форуме. С большой вероятностью окажется публично доступной. Люди прекрасно понимают, как оказавшиеся в интернете личные данные могут отразиться на их жизни.
В. Тушканов из «Лаборатории Касперского» пояснил, что вероятность того, что об утечке станет известно общественности, слишком большая. Если же компания станет отрицать этот факт, то может сильно пострадать ее репутация.
Но есть и другое мнение у некоторых экспертов. А. Арсентьев из InfoWatch уверен, что статистические данные, предоставленные «СерчИнформ», очень оптимистичные. По его мнению, у отечественных компаний нет достаточной мотивации для того, чтобы заявлять о наличии утечки.
Он говорит, что в большинстве своем информация об утечках остается внутри компаний. Если же есть неоспоримые доказательства, организации все-равно нередко отрицают то, что данные были утеряны или не говорят о реальных последствиях инцидента. О многих из них известно становится только, если начинаются судебные разбирательства.
По его мнению, компании станут более открытыми, если будут изменены законы, введена ответственность, изменится отношение граждан к защите личных данных.
Измененное законодательство
По мнению специалистов «СерчИнформ» именно общественный резонанс является двигателем процессов законодательного характера.
А. Журавлев, председатель комиссии по правовому обеспечению цифровой экономики МО АЮР, считает, что новые законы в области защиты персональных данных граждан должны подразумевать финансовое наказание компаний, как это практикуется в странах Евросоюза и в США, в штате Калифорния.
В американском штате по закону (ССРА), компании, которые допустили информационную утечку, оплачивают штраф в сумме до 7 500 тысяч долларов т компенсацию всем, кто от этого пострадал – 750 долларов. А. Арсентьев больше склоняется к европейскому регламенту GDPR, согласно которому компания обязана уведомить соответствующие органы о происшествии не позднее 72 часов, иначе ей могут назначить штраф в сумме 20 000 000 евро или 4% от оборота в год.
Арсентьев рассказал, что Западные компании более серьезно относятся к этому вопросу. Для большинства потребителей одним из ключевых факторов выступает безопасность. По результатам, полученным зарубежными аналитиками, в случае утечки 65 процентов потребителей компании перестают доверять. Отказаться от услуг компании, которая допустила компрометацию их данных, готовы 80 процентов.
Журавлев отметил, что у нас в стране есть только одно наказание, указанное в КОАП. Это штраф в сумме 75 000 рублей, которые уходят в государственный бюджет. При этом он добавил, что в России уже предприняты меры по улучшению данного положения.
Он пояснил, что закон № 519-ФЗ от 30 декабря 2020 г., подписанный главой государства, позволит гражданам на законных основаниях требовать удалить их личные данные полностью либо частично и узнать, кому оператор предоставит доступ к этой информации.
Журавлев уверен, что нужно побыстрее увеличить штрафы и ввести компенсационные выплаты, внедрить контроль независимого характера, как это уже сделали в Европе.