Привет, Хабр!

Мы решили проанализировать известные утечки из российских компаний за первое полугодие 2023, о которых писали СМИ и Телеграм-каналы (@dataleak, @data1eaks, @in4security, @intosecurity), чтобы узнать, какие пост-меры принимают организации, насколько часто информация доходит до Роскомнадзора и как на это реагируют пользователи. Делимся результатами, добро пожаловать под кат.

Прошел почти год с момента вступления в силу поправок в ФЗ-152 «О персональных данных», согласно которым операторы ПДн должны сообщать о кибератаках и утечках в ГосСОПКА и Роскомнадзор. Напомним, что отчитаться об инциденте нужно в течение 24 часов, за 72 часа – представлять результаты внутреннего расследования. Тем временем, по поручению Президента правительство должно было проработать вопрос о введении оборотных штрафов для компаний, допустивших утечку персональных данных. И Госдума проработала законопроект, итоговая версия которого предусматривает наказание за подобные инциденты до 3% совокупной выручки компании (до 500 млн рублей). Пока правительство думало над новым наказанием, которое будет соразмерно последствиям инцидентов, компании продолжали терять данные.

По данным Роскомнадзора на июнь месяц в российских компаниях выявлено и подтверждено 69 фактов утечек данных. По нашим подсчетам из открытых источников, на конец июня произошло 103 утечки. Утекали не только персданные, но и исходные коды проектов, внутренняя документация, техническая информация, медицинские сведения, корпоративные адреса электронной почты (периодически все вместе). Не исключаем, что не все клиентские базы полностью состояли из уникальных данных и не были скомпилированы из других баз.

Чаще всего инциденты с конфиденциальными данными происходят в компаниях ритейла – более четверти от всех случаев. Каждый 12-й инцидент приходится на финансовые и ИТ-компании (в том числе те, что обслуживают государственных и около государственных заказчиков). Остальные утечки происходили в организациях сферы образования, общественного питания, промышленности, строительства, здравоохранения и других отраслях, чьи инциденты по количеству не превысили 2%. 88% утечек происходит в коммерческих организациях, 11% – в государственных, 1% – в НКО.

Практика показывает, что не все организации готовы заявлять о возможных утечках открыто. Подавляющее большинство предпочитает воздержаться от комментариев в СМИ или от публичных извинений на своем сайте или в блоге – это 67%. Бывает и так, что компании высказываются по ситуации точечно, по запросу (не всегда от СМИ). Например, отвечают пользователям лично в комментариях под их постами в блоге. Лучше всего скрываются малые компании, чье имя еще не стало «брендом». Скорее всего, это происходит из-за репутационных рисков. Когда компания признает утечку, она снизит к себе лояльность пользователей, если же нет надобности говорить о случившемся в открытую (никто не запрашивает комментарий), то может повезет и никто об этом не узнает. Однако стоит учитывать, что компании может прилететь штраф, и тогда придется извиняться еще сильнее, но уже по факту. Так, после наказания от Роскомнадзора пришлось извиниться 1% компаний.

Прямо подтвердить утечку в СМИ решила каждая 11 компания. Еще 7% компаний подтверждают утечку, но с оговорками: утечка старая / была вызвана сторонним сервисом / в базе были некритичные данные. Полностью отрицают утечку 5%, а 2% хоть и отрицают, но передают информацию об инциденте в Роскомнадзор.

«В кризисной ситуации открытость всегда воспринимается лучше, чем сухое «без комментариев» или просто молчание со стороны бренда. Пресс-релиз об инциденте на собственном сайте или комментарий об утечке в СМИ, даст возможность компании рассказать свою версию событий и смягчить ситуацию. Важно не ограничиваться «общими словами», а делиться результатами расследований и проверок по инциденту. Рассказать, как произошла утечка – была ли это хакерская атака или инсайдерский слив, что компания планирует делать для устранения последствий, объяснить пользователям, насколько критичные данные утекли и что они должны сделать со своей стороны, чтобы обезопаситься.

Компании часто говорят, что у них утекла неполная база или некритичные данные, потому что это успокаивает пользователей. Если это правда, информация будет только в плюс. Но опять же – рассказывайте подробности, например, что это были не платежные данные, в базе только ФИО и номер карты лояльности.

Стратегия сказать, но не сделать – плохая. Если ложь раскроется, это усугубит и так непростую для компании ситуацию. Поэтому, если начали говорить, что приступили к решению проблемы – это должно быть сделано.

Молчание в случае утечки - не всегда означает бездействие. Причина больше в том, что у нас в стране плохо работают антикризисные коммуникации, пиарщики к ним редко подготовлены. У PR-отдела должен быть четкий план, что и как делать в компании при утечке, нужно иметь в запасе «рыбы» пресс-релизов на самые распространенные случаи. Компании молчат, потому что этого плана действий нет, и пока специалисты напишут и согласуют со всеми пресс-релиз, время уйдет и об утечке перестанут говорить. А смысла поднимать неприятную тему еще раз организации не видят. Опять же, стратегия не очень верная, так как не позволяет организации дать разъяснения и нивелировать негатив к бренду», – комментирует Татьяна Новикова, директор по PR и маркетингу компании «СёрчИнформ».

После инцидентов организации восстанавливают работу сервисов, проводят проверку всех систем безопасности, при необходимости сбрасывают все пароли в системе, меняют ключи от серверов и сервисов, которые могли быть скомпрометированы, расследуют утечку и, само собой, отправляют данные в Роскомнадзор. Публично о проверке компаний Роскомнадзор заявлял 23 раза, из них как минимум 5 организаций не уведомили ведомство об инциденте. За свежие утечки в первом полугодии были оштрафованы 3 компании. Все штрафы не вышли за пределы 60 тыс. рублей – это самая нижняя планка, от которой начинается наказание за утечку ПДн.

«На ситуацию с утечками сильно повлиял мораторий на проверки предприятий и предпринимателей. Компании, в которых хранятся огромные массивы клиентских данных: сфера услуг, локальный ритейл, микрофинансовые организации – это малый и средний бизнес. До них «руки» Роскомнадзора и раньше не всегда доходили, а с учетом запрета, за эти полгода и вовсе не было полномочий проверять компании.

В вопросе количества штрафов и их суммы я согласна с мнением депутата Александра Хинштейна. Штрафов и не должно быть много, они не источник наполнения бюджета, а превентивная мера и мотивация для руководителя компании задуматься о защите данных. Уже известен размер оборотных штрафов, их верхний предел составит 500 млн рублей. Сумма значительная, но это не единственная выплата, которая может грозить компаниям. После масштабной утечки в «Яндекс.Еда» начала развиваться судебная практика – некоторые пользователи подают исковые заявления в суд. Таких прецендентов пока не много, так как размеры компенсаций невысокие, есть сложности с оценкой «доказательств из интернета», но эту тенденцию нельзя сбрасывать со счетов. Даже компенсация в размере 5000 рублей при утечке более 100 тыс. строк и оплата потенциального штрафа могут равняться сумме, которая вполне сопоставима с бюджетом на покупку защитных решений, а у кого-то и превышает его», – поделилась Ольга Минаева, GR-директор «СёрчИнформ».

В первом полугодии 2023 не было громких инцидентов с исковыми заявлениями против операторов персональных данных. Пока пользователям сложно отстоять свои права и получить хорошую компенсацию, однако представители власти периодически пытаются продумать механизм выплат. Об этом свидетельствуют их заявления в СМИ. Например, от зампреда Совета по развитию цифровой экономики при Совете Федерации Артема Шейкина поступало предложение внести в законопроект об оборотных штрафах размер минимальной компенсации для пострадавших граждан. Роскомнадзор рассматривал возможность упростить пользователям получение компенсации и разработать механизм передачи жалобы через портал «Госуслуги», однако точного решения пока не было.

В заключении хотелось бы сказать, что компаниям не хватает открытости. И тот малый процент организаций, который признает утечку и делится информацией, выглядит более зрелым и профессиональным, как минимум, в глазах экспертного сообщества. Провести разбор инцидента и поделиться результатами расследования даже в блоге на Хабре – большой шаг и это шаг в правильном направлении. Не стоит спускаться до уровня компаний, которые говорят, но не делают, с такой позицией мем из South Park становится неприятной действительностью.