Привет, Хабр!
По случаю Дня защиты персданных собрали для вас небольшое исследование о том, как компании реагируют на утечку информации, в особенности – персональных данных. Анализировали известные утечки из российских компаний за 2024 год, о которых писали СМИ и Телеграм-каналы (@dataleak, @data1eaks, @in4security). Делимся результатами, а также небольшой историей праздника и информацией по обновлениям в российском законодательстве в сфере ПДн. Добро пожаловать под кат.
Прошлое: немного о празднике
Международный день защиты персональных данных отмечается с 28 января 2007 года. Такое решение было принято 26 апреля 2006 года комитетом министров Совета Европы. Дата соответствует годовщине подписания Конвенции Совета Европы от 28 января 1981 года «О защите лиц в связи с автоматизированной обработкой персональных данных» – первого международного инструмента в сфере защиты ПДн. В России же в 2006 году был принят федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Настоящее: как обновилось законодательство по защите ПДн в России за последнее время
2022 год
-
Операторы ПДн обязаны уведомлять Роскомнадзор об инцидентах с персональными данными:
В течение 24 часов с обнаружения инцидента – о его факте, предполагаемом вреде и мерах, принимаемых к устранению последствий.
В течение 72 часов – представить результаты внутреннего расследования и сведения о причастных к инциденту.
2023 год
Вступили в силу:
-
Приказ Роскомнадзора № 178:
• Устанавливающий критерии степеней вреда от утечек в зависимости от состава пострадавших данных и условий их обработки.
-
Приказ Роскомнадзора № 179:
• Устанавливающий требования по уведомлению Роскомнадзора об уничтожении персданных с приложением выгрузки из журнала событий информационной системы.
-
Приказ Роскомнадзора № 187:
• Устанавливающий требования к форме, порядку и содержанию уведомлений об инциденте с персональными данными.
-
Поправки в КоАП РФ:
• Ч. 2 ст. 13.11 – штрафы за обработку ПДн без согласия увеличены в полтора раза: до 100-300 тыс. рублей для должностных лиц и до 300-700 тыс. для юридических лиц.
2024 год
Принят пакет законов, устанавливающих уголовную ответственность и увеличенные штрафы за нарушения с персданными. Закон об изменениях в Уголовный кодекс вступил в силу.
Нарушение |
Лишение свободы |
Штраф |
Неправомерный доступ, передача, использование персданных |
до 4 лет |
до 300 тыс. рублей |
|
Те же действия с биометрией и персданными спецкатегорий, а также детей
|
до 5 лет |
до 700 тыс. рублей |
|
Те же действия: - по корыстным мотивам; - группой лиц; - с использованием служебного положения |
до 6 лет |
до 1 млн рублей |
Те же действия, повлекшие трансграничную передачу персданных |
до 8 лет |
до 2 млн рублей |
|
Те же действия: - повлекшие тяжкие последствия (вред жизни и здоровью людей, банкротство компании); - организованной группой |
до 10 лет |
до 3 млн рублей |
30 мая 2025 года вступит в силу закон об ужесточении административных штрафов за утечку персданных:
Нарушение |
Штраф для должностных лиц органов власти и госучреждений |
Штраф для коммерческих предприятий и ИП |
Неуведомление об обработке персданных |
30-50 тыс. рублей |
100-300 тыс. рублей |
Неуведомление об утечке персданных |
400-800 тыс. рублей |
1-3 млн рублей |
Утечка менее 10 тысяч записей (менее 1000 пострадавших) |
50-100 тыс. рублей |
150-300 тыс. рублей |
Утечка 10-100 тыс. записей (1-10 тыс. пострадавших) |
200-400 тыс. рублей |
3-5 млн рублей |
Утечка 0,1-1 млн записей (10-100 тыс. пострадавших) |
300-500 тыс. рублей |
5-10 млн рублей |
Утечка более 1 млн записей (более 100 тыс. пострадавших) |
400-600 тыс. рублей |
10-15 млн рублей |
Повторная утечка >10 тыс. записей (более 1 тыс.пострадавших) |
0,8-1млн рублей |
1-3% годовой выручки (15-500 млн рублей) |
Утечка персданных спецкатегорий в любом количестве |
1-1,3 млн рублей |
10-15 млн рублей |
Повторная утечка персданных спецкатегорий |
1,5-2 млн рублей |
1-30% годовой выручки (20-500 млн рублей) |
При этом соблюдение ИБ-требований в течение года, инвестиции 0,1% выручки и привлечение лицензированных компаний для обеспечения ИБ в течение 3 лет до инцидента снижают ответственность оператора за повторную утечку в 10 раз.
Данные исследования: что мы увидели в 2024 году
Пока правительство принимало новый законопроект, данные в компаниях утекали стабильно часто. Роскомнадзор зафиксировал за 2024 год 135 случаев утечки баз данных, в которых содержались более 710 млн записей о россиянах. Если их количество разбить на весь календарный год – утечка происходила примерно раз в 2,5-3 дня. Самый масштабный инцидент был зафиксирован в феврале: утекло 500 млн строк, что больше суммы всех утечек за 2023 год. В 2023-м РКН выявил 168 нарушений, но утекло 300 млн записей.
По нашим подсчетам, публично стало известно о 74 инцидентах. Вместе с персданными клиентов утекали и другие сведения: телефоны родителей учеников (при утечке из учебных заведений), даты покупок с сайтов доставок, последнего входа/выхода с сервисов, купоны на скидку, комментарии по заказам, пароли и даже идентификаторы Skype и модели смартфона пользователей. Какое раздолье для мошенников, которые могут таргетировать интернет-рекламу с фишинговым сайтом или делать скрипт звонка под определенного человека! Только за 2024 год россияне перевели мошенникам, использующим ИТ-инструменты и социальную инженерию, от 250 до 300 млрд (!) рублей.
Чаще всего инциденты с конфиденциальными данными происходят в компаниях ритейла – это почти половина от всех случаев. 14% инцидентов приходится на финансовые и ИТ-компании (в том числе те, что обслуживают государственных и около-государственных заказчиков), по 7% на сферу здравоохранения и общественного питания. При этом несколько организаций столкнулись с утечкой дважды. Остальные утечки происходили в организациях, чьи инциденты по количеству не превысили 2%: образование, туризм, логистика и др.
Практика показывает, что очень мало организаций готовы заявлять об утечках открыто. Подавляющее большинство предпочитает воздержаться от комментариев в СМИ или от публичных заявлений на своем сайте или в блоге – это 83%. Чаще всего умалчивают об утечках малые компании, чье название еще не стало «брендом». Прямо подтвердить утечку в СМИ решили только 5% компаний. Однако у одной из компаний нашлась отговорка: причиной могла стать уязвимость на стороне. Еще 4% компаний «оправдались» тем, что в базе были некритичные данные или утекла только малая часть базы. Полностью отрицают утечку 4%, а 3% хоть и отрицают, но передают информацию об инциденте в Роскомнадзор.
После инцидентов организации восстанавливают работу сервисов, проводят проверку всех систем безопасности, при необходимости сбрасывают все пароли в системе, меняют ключи от серверов и сервисов, которые могли быть скомпрометированы, расследуют утечку и отправляют данные в Роскомнадзор. Публично в СМИ Роскомнадзор заявлял о проверке, как минимум, 7 компаний. Из них 5 организаций сразу не уведомили ведомство об инциденте и никак не высказались в СМИ.
А еще мы анонимно спросили 1000 ИБ-шников про их реакцию на утечки. Вот, что узнали.
Кстати, в отрыве от исследования публичных инцидентов мы регулярно анонимно опрашиваем ИБ-специалистов из разных компаний (в этом году более 1000 человек), как у них обстоит с ИБ – и, в частности, как они поступают в случае утечки. В 2024 году только 3% ответили, что были бы готовы оповестить широкую общественность. Зато 26% информируют об инциденте клиентов и партнеров, а регулятору отчитывается 31%. Тизер: полное исследование уровня ИБ в российском бизнесе и госсекторе за 2024 год опубликуем уже скоро.
Компаниям все еще не хватает осознанности и открытости для того, чтобы признать инцидент и передать информацию регулятору. Иногда не хватает знаний, какие действия нужно предпринимать, если произошла утечка, и как сообщить о ней клиентам. Еще в 2022 году мы собрали два бесплатных полезных материала на эту тему: Чек-лист «5 шагов для устранения последствий утечки» и хау-ту «Как защитить ПДн и выполнить требования 152-ФЗ». Можно воспользоваться ими, чтобы собрать свою инструкцию на случай чрезвычайных ситуаций с персданными.
Однако мы все-таки пожелаем вам никогда не столкнуться с такими инцидентами. Пусть ваши ПДн и данные клиентов всегда будут под надежной защитой, чтобы никакие чек-листы по предотвращению последствий утечек вам не пригодились!
Будет интересно узнать ваше мнение: стоит ли компаниям рассказывать об утечке персональных данных и как это лучше сделать (на своем сайте, в почтовой рассылке, в СМИ, в соц.сетях и т.п.)?
Комментарии (2)
cliver
28.01.2025 10:12Эффективный способ предотвращения утечек - не собирать данные или как минимум не хранить их централизованно. Но в эту сторону почему-то никто не думает, все только размахивают лозунгами "надо защищать", нужно "больше защиты", "больше штрафы за утечки" и прочее. Мало кто задумывается, что для работы многих сервисов сбор кучи данных вообще не нужен, всяким маркетологам хватит клиентского ID как способа отличить одного клиента от другого, а сбор паспортных данных, номеров телефонов, email и прочего явно избыточен в большинстве случаев.
titbit
Да на деле никто не борется с массовыми утечками. Ну или борется в стиле "утечки стой! раз два!". Наоборот сколько за последние годы было новых инициатив по сборку ПД в разные другие компиляции и базы? Причем на 99.9999% все эти базы бессмысленны с технической точки зрения и только увеличивают поверхность атак, утечек и всяких пробивов. Из того что реально происходит, можно сделать вывод, что задача стоит - собрать всё до чего можно дотянуться, не важно нужно оно или нет, а там глядишь и пригодится, а утечёт - плевать, всё равно всё что можно уже утекло не по одному разу.