Любая компания, ориентированная на персоналистское взаимодействие с пользователем, так или иначе занимается сбором, обработкой и сохранением его персональных данных (ФИО, возраст, электронная почта, место проживания или пребывания, объемы приобретенных товаров и многое другое). Подобные материалы интересны хакерам и иным злоумышленникам: правильно обработав эту информацию, всегда возможно, используя инструменты социальной инженерии, получить доступ к деньгам клиента.
По данным компании InfoWatch, в 2021 году во всем мире было зарегистрировано 1729 случаев утечки информации ограниченного доступа: в сети появились 8,42 млрд разнотипных записей конфиденциального характера. В России в это же время эксперты зафиксировали 331 утечку информации данного типа, то есть примерно 80 млн строк (рост по сравнению с 2020 годом составил +20%).
В 2022 году ситуация, как видно из данных мониторинговых отчетов IT-компаний, занимающихся вопросами безопасности, не улучшилась: из крупных экосистемных российских корпораций последовательно произошли несколько сливов пользовательских данных, при этом штрафы, наложенные властями на правонарушителей, составили всего 60 тысяч рублей.
Минимальность наказания, помноженная на практически полностью отсутствующий институт репутации, предусматривающий в том числе распродажу ценных бумаг фирмы из-за выявленных нарушений, в результате не оказали серьезного экономического воздействия на бизнес, допустивший несоблюдение законодательных условий.
А что происходит в западных странах?
Там ситуация совсем иная по ряду причин:
Во-первых, граждане имеют право подавать коллективные и индивидуальные иски с неограниченной суммой требований. Если эти иски удовлетворяют, то компании, допустившие правонарушение, платят миллионы. Наиболее показательный случай произошел с T-Mobile, база данных (76 млн клиентов) которой оказалась в открытом доступе. Против фирмы было выдвинуто 44 групповых иска в разных штатах. По предварительному соглашению с пострадавшими оператор должен выплатить своим клиентам 350 млн долларов (сумма без налогов). Кроме того, юрлицо обязалось вложить 150 млн долларов в улучшение системы безопасности.
Во-вторых, кроме прямых затрат компенсаторного характера, юрлица всегда получают и долгосрочный эффект негативных последствий по своим ценным бумагам:
в краткосрочной перспективе (до конца первого года): после сообщения об утечке, отмечали аналитики InfoWatch в 2020 году на основе анализа информации об экономических последствиях такого рода событий в 17 крупных публичных корпорациях в 2019 году, капитализация финансовых компаний снижалась более чем на треть, фирмы из сектора «ритейл», «промышленность» — на 8 и 3,58% соответственно;
в долгосрочной перспективе (2 года и более) стоимость акций фирм-правонарушителей на NASDAQ отстает от компаний, не допустивших подобных ошибок (аналитики оценивали этот показатель в 2019 году в -13,27%).
Пример из практики. В 2018 году из-за фиксации утечки персональных данных пользователей Facebook (признан экстремистским сайтом в РФ) за два дня потерял почти 60 млрд долларов рыночной стоимости, а оценка состояния его основателя и владельца снизилась более чем на 6 млрд долларов.
Вполне очевидно, что снижение стоимости ценных бумаг прямо влияет на возможности фирмы по привлечению дополнительных дешевых ресурсов на свои инфраструктурные проекты в последующем.
И сколько всего бренды могут потерять на утечках данных? По мнению аналитиков консалтинговых фирм Infosys и Interbrand, если слив сведений касается 100 крупнейших компаний планеты, то потери в 2020 году могли составить до 223 млрд долларов. Сегментно это выглядит так. Только технологические компании потеряли до 29 млрд долларов (или 53% дохода).
В этой конструкции (когда шквальное падение может быть разогнано одной негативной новостью, а доверие пользователей приобретается долгим и кропотливым трудом) зарубежным корпорациям выгодно вкладывать дополнительные ресурсы:
как в обеспечение необходимой фирмам безопасности — если даже ЧП произойдет, то компания может всегда оправдаться перед клиентами, заявив о цельной системе внутренней защиты, которую взломали в результате трагической случайности;
так и в попытку нивелирования негативного эффекта от случившегося (это может проявляться, например, в оплате выпуска новых паспортов).
Соответственно, заваливая рынок деньгами, предприниматели предупреждают вероятность масштабной негативной корректировки акций: если падение и будет, то оно станет минимизированным по времени.
Почему в России сложно это организовать?
Основная причина — общественное мнение не имеет серьезного влияния ни на рынки, ни на собственников (которыми являются либо государственные корпорации, либо крупный бизнес, имеющий интересы в разных экономических сферах). Если приплюсовать к этому невозможность предъявления групповых исков и общую апатичность населения, которое не желает защищать свои права в этом направлении, то в качестве деятельного инструмента превенции в этой ситуации можно использовать только предлагаемый институт оборотных штрафов (хотя и здесь есть «подводные камни» — ситуации с утечками персональных данных вполне могут стать более латентными).
При этом Россия одна из немногих стран, в которой можно зарегистрировать базу данных. А это уже предполагает определенную защиту. Но почему-то этой опцией пользуются крайне редко.
Полезное от Онлайн Патент:
Какие выгоды можно получит от регистрации программы для ЭВМ?
Не только айтишники: какие компании могут внести свои программы в Реестр отечественного ПО?
Больше контента о сфере интеллектуальной собственности в нашем Telegram-канале