Эксперты рассказали об увеличении попыток компаний скрыть утечки данных

Количество объявлений об утечках персональных данных по итогам 2023 года сократилось на 8%, сообщили «Ведомости» со ссылкой на данные из статистики команды сервиса Kaspersky Digital Footprint Intelligence. При этом число опубликованных строк пользовательских данных за это время, наоборот, выросло на 24% и достигло 342 млн, а число опубликованных строк, содержащих пароли, увеличилось на 17,5%. 

По данным Kaspersky Digital Footprint Intelligence, всего в прошлом году было зафиксировано 155 случаев публикаций значимых баз данных российских компаний. По словам руководителя исследовательской группы Positive Technologies Ирины Зиновкиной, каждая вторая успешная атака на российские организации в 2023 году приводила к утечке конфиденциальной информации. Как пояснил заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков, объявлений об утечках стало меньше, поскольку часть компаний начала скрывать их: несмотря на закон, обязывающий оператора сообщать об утечке, эффективного механизма контроля и наказания за нарушения пока нет. По словам руководителя департамента расследований T.Hunter, эксперта рынка НТИ SafeNet Игоря Бедерова, компании могут «договариваться за спиной со взломщиками, чтобы те не публиковали данные сливов и не дискредитировали эти компании».

Угрозы репутации бизнеса стали одним из аргументов киберпреступников, которые сообщают компании об утечке данных, даже если ее на самом деле не произошло, сообщила старший эксперт по защите бренда Angara Security Виктория Варламова. По ее словам, в 2023 году основной площадкой для проведения сделок по базам данных стал Telegram. Она отметила, что за прошедший год на 29% вырос объем предложения баз данных, что подтверждает отраслевую статистику. По мнению опрошенных «Ведомостями» экспертов, больше всего за 2023 год от кражи персональных данных страдали медицинские учреждения, финансовая сфера и госсектор. 

В декабре 2023 года в Госдуму внесли два законопроекта, которые предлагают ужесточить наказание за утечки персональных данных. Документ предусматривает внесение поправок в Кодекс об административных нарушениях и Уголовный кодекс. Согласно предложенным изменениям в КоАП, штраф для юрлиц и индивидуальных предпринимателей за утечку персональных данных составит от 3 млн до 15 млн рублей в зависимости от ее объема. За повторные утечки грозит еще большее наказание — штраф в размере до 3% выручки за календарный год, но не более 500 млн рублей. 

Поправки в УК предусматривают наказание в виде лишения свободы до восьми лет для тех, кто вывозит данные граждан России за рубеж для их продажи или передачи. Если же утечка повлекла вред жизни и здоровью граждан, а также общественной безопасности, или же речь идет об оргпреступности, то «это уже 10 лет тюрьмы», отметил в своем Telegram-канале один из авторов законопроекта, секретарь генсовета партии «Единая Россия» Андрей Турчак. Уголовная ответственность предусмотрена и для тех, кто делает бизнес на краденных данных, — до пяти лет лишения свободы.  

Введение оборотных штрафов обсуждалось с весны 2022 года. В Минцифры тогда планировали определить понятие утечки и предусмотреть в документе и смягчающие обстоятельства для компаний, которые сделали все возможное для защиты информации своих клиентов. Ужесточить наказание за утечки данных россиян власти решили после того, как это случилось в ряде крупных компаний и сервисов, в том числе в «Яндекс Еде», Delivery Club и СДЭК. В октябре 2023 года Роскомнадзор подтвердил утечку персональных данных почти 1 млн клиентов МТС Банка.

Законопроект об оборотных штрафах за утечки подвергался критике со стороны Ассоциации больших данных (объединяет «Яндекс», VK, Сбербанк, Газпромбанк, Тинькофф Банк, Россельхозбанк, «Мегафон», «Ростелеком», QIWI, билайн, МТС, «Авито», фонд «Сколково», Аналитический центр при правительстве, ВТБ, Центр стратегических разработок).