Один из ключевых активов нашей цифровой эпохи – персональные данные. Чем дальше, тем больше утечки персданных влияют на финансовое состояние организации и ее капитализацию. Но так не везде. В России пока все иначе. Мы провели исследование, как по-разному видит ценность персданных законодательство разных стран, а также посчитали, сколько денег стоят бизнесу утечки, и порассуждали, как все будет развиваться.
Немного статистики. Во многих странах законодательство о персональных данных продолжает становиться более цивилизованным, в частности, это касается финансовой ответственности компаний за утечки. Экспертно-аналитический центр ГК InfoWatch провел исследование финансовых последствий утечек персданных и другой конфиденциальной информации для юридических лиц.
Из открытых источников за 2020 г. стало известно о 118 случаях назначения штрафов и компенсационных выплат за нарушения, приведшие к утечкам. По сравнению с 2019 г. количество штрафов и компенсаций выросло на 9,3%, а их общая сумма составила $385 млн. Правда, годом ранее итоговая сумма была в 15 раз больше, но тогда сказался огромный штраф в $5 млрд, назначенный компании Facebook. В 2020 г. настолько суровых финансовых взысканий не было.
Где утекает чаще всего. В отраслевом распределении 50% мировых штрафов в 2020 г. пришлись на хайтек-компании, здравоохранение (хакеры объявили охоту за персданными тех, кого коснулся COVID-19) и ритейл. Больше всего наказаний за утечки пришлись на США и Сингапур - соответственно, 28 и 23 случая. В первую пятерку стран по количеству финансовых взысканий также вошли Румыния (11 штрафов), Италия (9 штрафов) и Соединенное Королевство Великобритании и Северной Ирландии (5 штрафов). Как и годом ранее, США заняли первое место среди стран по размеру среднего штрафа. Его сумма в 2020 г. составила $13 млн.
С тех пор, как 3 года назад был принят GDPR (регламент по защите данных в странах Евросоюза) в едином европейском пространстве методично штрафуют компании за различные нарушения, связанные с обработкой персональных данных. Регуляторы стран Евросоюза вынесли 35,6% от всех штрафов, но средняя сумма составила всего $93 тыс. Вероятно, решили применять власть весьма деликатно и дозированно в период пандемии, полагая, что в сложные времена важен сам факт наказания, а не размер штрафа.
Как в России со штрафами. Число выявленных штрафов пока относительно невелико. Известно о четырех взысканиях с российских компаний и организаций в 2020 г. за нарушения, которые можно отнести к утечкам персональных данных. Их общая сумма составила, внимание, 510,5 тыс. руб. (примерно $6900).
О тенденциях. На наш взгляд, в ближайшие годы стоит ожидать дальнейшего увеличения количества штрафов за утечки и расширения их географии. Регуляторы в сфере защиты информации во многих странах постепенно меняют законодательство, исходя из новых реалий, встают на путь методичной защиты пользовательских данных как основного компонента цифровой личности.
Мы собрали все компании, которые в 2020 г. заплатили более $1 млн штрафов за утечки.
О зависимости стоимости акций от утечек. Все понимают, что утечка конфиденциальных данных, как правило, негативно сказывается на биржевых котировках. А что говорят факты и статистика? В среднем, в первые часы после объявления об инциденте падение выглядит небольшим, в пределах 1%, но за этой цифрой для крупной компании стоят потерянные десятки и даже сотни миллионов долларов.
0,86% - на столько в среднем падает капитализация компании в первый день после утечки
В дальнейшем утечка, как правило, не ложится тяжким грузом на репутации компании и на формирование курса акций влияет гораздо меньше других факторов. Удалось проследить динамику курса акций в отдельных отраслевых группах сразу после сообщения в инфополе об утечке данных, в течение недели, к концу первого месяца, через 3 месяца и через 6 месяцев.
Наибольшее падение биржевых показателей сразу после утечек отмечено среди компаний сегментов «Ритейл&HoReCa» и «Высокие технологии» (телеком, ИТ) – на 2,29% и 2,02% соответственно.
Наименее восприимчива к утечкам сфера промышленности и транспорта – здесь даже после утечки акции в среднем выросли на 0,56%. Относительно устойчивой также можно признать финансовую сферу, потери участников которой в первые часы после утечки оказались довольно невелики – менее 0,25%.
В течение недели после утечки усугублялось положение только промышленности и транспорта. Три другие отраслевые группы демонстрировали рост. Правда, участникам группы «Ритейл&HoReCa» не удалось выйти в плюс. А вот финансовые компании в целом демонстрировали рост почти на 4%, хайтек прибавлял 1,78%.
Посмотрев на консолидированные отраслевые значения через полгода после утечек, мы увидели, что финансовая сфера демонстрировала огромное падение биржевых показателей (на 16,5% по сравнению с курсом, который предшествовал объявлению об утечке), сфера высоких технологий немного падала и уходила в минус. При этом ритейл существенно рос.
Влиянию утечек на курс акций публичных компаний посвящена отдельная глава в отчете Экспертно-аналитического центра InfoWatch, полную версию которого можно найти здесь.
Как думаете, каков горизонт обновления российского законодательства в сфере штрафов за утечки: 3-5 лет, 5-10 лет или больше?
Материал подготовлен при участии Экспертно-аналитического центра InfoWatch