Минус 5,5 млн за утечку. Почему важно правильно хранить персональные данные

Одна из главных проблем российских компаний в 2023 — регулярные утечки данных. По оценке ГК «Солар», от каждой такой утечки крупный бизнес теряет в среднем 5,5 млн рублей. И это только прямые финансовые издержки без учёта репутационных потерь и штрафов.

Рассказываем, чем сейчас грозит утечка персональных данных бизнесу и как её не допустить.

Что такое персональные данные

Утечек в 2023 году стало больше

Какая сейчас ответственность за утечку данных

До 500 млн рублей? Штрафы будут расти

Еще немного цифр по утечкам

Что делать

Чек-лист: как не допустить утечки данных

Сначала важно разобраться, что вообще считается персональными данными. Отношения, связанные с ними, регулирует Федеральный закон от 27.07.2006 N 152-ФЗ «‎О персональных данных» (сокращённо — 152-ФЗ).

Простыми словами, персональные данные (ПДн) — это любая информация, которая помогает опознать субъекта персональных данных. Обычно это:

• ФИО,
• телефон,
• email,
• домашний адрес,
• паспортные данные
• банковские данные,
• фото.

Субъект ПДн — это человек, данные которого собирает, обрабатывает и хранит оператор.

Оператор — это государственный орган, муниципальный орган, юридическое лицо или человек, который собирает и использует персональные данные субъекта. Здесь будем говорить в основном про юридические лица, то есть про компании

Утечка персональных данных — это попадание ПДн в открытый доступ. Например, когда базу данных конкретной компании публикуют в интернете.

А вот немного статистики по утечкам:

• По данным Kaspersky Digital Footprint Intelligence, в 2023 в интернет попало 342 млн строк ПДн. Это на 24% больше, чем в 2022.
• По оценкам ГК InfoWatch, в 2023 объём утечек составил 1,12 млрд записей. А это на 60% больше, чем в 2022 — тогда было 702 млн.

Данные разнятся, но у них есть общее — утечек становится больше. И в 2024 году эта тенденция, скорее всего, продолжится.

Вот лишь некоторые крупные утечки за последние месяцы:

У таких утечек есть две основные причины:

• Намеренное раскрытие информации. Когда данные распространяет сотрудник компании или мошенник со стороны.
• Неосторожность. Когда данные становятся доступными из-за некомпетентных действий сотрудников или из-за технических проблем на стороне компании.

Независимо от причин утечки, компания-оператор должна провести своё расследование.

Согласно изменениям в 152-ФЗ, которые вступили в силу 1 сентября 2022, после утечки оператор обязан:

• в течение 24 часов уведомить об этом Роскомнадзор
• в течение 72 часов предоставить Роскомнадзору результаты внутреннего расследования с указанием причин и виновных лиц.

После этого Роскомнадзор проводит проверку, чтобы узнать, нарушила ли компания закон.

Ответственность за утечку прописана в ст. 13.11 КоАП РФ:

• за утечку компании грозит штраф от 60 до 100 тысяч рублей (ч. 1 ст. 13.11 КоАП),
• за повторную утечку — штраф от 100 до 300 тысяч рублей (ч. 1.1. ст. 13.11 КоАП).

Так, в 2023 Роскомнадзор зафиксировал 168 утечек ПДн, в 2022 году — 140. Для сравнения в 2021 — всего 4.

Всего после проверок Роскомнадзора в 2023 году суды рассмотрели 87 протоколов по факту утечек и назначили штрафы на общую сумму 4,6 млн рублей.

То есть в последние годы не просто становится больше утечек — штрафы тоже назначают чаще.

Кроме того, по мнению Роскомнадзора, пострадавшие клиенты тоже могут требовать от бизнеса компенсации. В октябре 2023 портал Объясняем.рф, запущенный Правительством России, выложил инструкцию, как получить от компании компенсацию за утечку данных.

Казалось бы, 60 тысяч штрафа — незаметная сумма для крупного бизнеса. И даже если несколько пострадавших клиентов потребуют компенсацию, всё равно это будет приемлемо.

Но ответственность за утечку ПДн в 2024 году может ужесточиться.

Так, 23 января 2024 Госдума приняла в первом чтении законопроект об административной ответственности за утечки персональных данных.

Согласно этому законопроекту, вводятся новые штрафы:

• Если пострадало от 1 до 10 тысяч клиентов — штраф составит от 3 до 5 млн рублей;
• От 10 до 100 тысяч клиентов — от 5 до 10 млн рублей;
• Более 100 тысяч — от 10 до 15 млн рублей.

Более того — за повторные утечки предлагают ввести оборотные штрафы. Они составят от 0,1% до 3% выручки за календарный год или часть текущего года. Но не менее 15 млн рублей и не более 500 млн рублей.

Независимо от того, примут этот закон или нет, уже сейчас компании несут большие финансовые потери. По данным ГК «Солар» от каждой утечки без учёта штрафов и репутационных потерь крупный бизнес теряет в среднем 5,5 млн рублей.

Небольшие компании тоже рискуют. Так, согласно отчёту ГК InfoWatch, доля утечек у ИП и компаний малого бизнеса (до 50 сотрудников) выросла с 18,5% в 2022 году до 34,1% в 2023.

И это не говоря, о том, что постоянные утечки затрудняют рабочие процессы. Приходится менять доступы для сотрудников, отрабатывать фейковую информацию, извиняться перед клиентами и так далее. А это тоже временные и денежные затраты.

• Число утекших номеров телефонов в 2023 году в 1,5 раза превысило численность населения РФ.

• В 2023 году в публичный доступ попали данные почти 400 организаций. Это означает, что каждый день в России происходила минимум одна утечка данных.

• Всего в общем доступе в 2023 оказалось 4,8 млрд строк данных. В 78 случаях к мошенникам попали базы, состоящие более чем из 1 млн строк.

• Первое место по количеству утекших данных в 2023 году заняла IT-отрасль (4,1 млрд строк), второе — услуги (218,6 млн), третьем — ритейл (187,4 млн).

Правильное хранение данных и недопущение утечек — прежде всего, ответственность самой компании.

81% россиян считают, что за безопасность ПДн в интернете должны отвечать государство или владельцы сайтов.

И это правда — клиенты любых компаний не могут напрямую повлиять на то, чтобы утечки не случилось. Основная причина в том, что это не клиент контролирует сбор и хранение ПДн, а сама компания.

И бизнес действительно начинает активнее работать в этом направлении.

Так, по данным «СёрчИнформ», в 2023 году 39% IT-компаний увеличили бюджет на информационную безопасность. В 2022 году это сделали всего 25%.

Чаще всего бюджет выделяли:

• на продление лицензионных ключей — 68%,
• на закупку оборудования — 49%,
• на импортозамещение зарубежного ПО — 42%.

В «СёрчИнформ» отмечают, что это большой скачок. Предыдущие исследования на эту тему стабильно показывали, что в информационную безопасность вкладывались не больше четверти российских компаний.

Более того — в 2023 году вырос спрос на проведение киберобучений в крупных российских компаниях. По сравнению с 2022 он увеличился в 2 раза.

И это уже отлично, но всё же этого недостаточно. Потому что есть ещё и репутационные потери.

Их куда сложнее спрогнозировать, чем финансовые. Но они напрямую влияют на снижение доходов. Потому что компания, которая не смогла уберечь личную информацию и случайно или по неосторожности сделала её доступной для мошенников — кажется ненадёжной. Доверять ей дальше сложно.

Так, по оценкам ГК «Солар», больше 55% расходов после утечек — это решение проблем, связанных с репутационным потерями.

Чтобы люди доверяли компании, они должны понимать, что она правильно обращается с их личными данными и делает максимум для их защиты. И здесь нужно авторитетное лицо, которое сможет проверить, насколько хорошо организация управляет ПДн, и донести это до людей.

Поэтому Sendsay, DashaMail, Stream Telecom — представители российсĸого рынĸа, ĸоторые давно работают с хранением и обработĸой ĸлиентсĸих данных — объединяются и создают Ассоциацию компаний по защите и хранению персональных данных.

81% респондентов из России считают, что членство в профильной ассоциации — признак надежности компании.

Главная задача Ассоциации — проверять компании на предмет правильного хранения ПДн и выдавать «Знаĸ ĸачества» тем, которые прошли проверку.

Если коротко, то «Знаĸ ĸачества от Ассоциации ĸомпаний по защите и хранению персональных данных» даёт существенное ĸонĸурентное преимущество. Потенциальным ĸлиентам не нужно самостоятельно проверять ĸомпанию на предмет надлежащей обработĸи и хранения персональных данных. Это упрощает процесс привлечения ĸлиента.

Также Ассоциация будет консультировать бизнес и оказывать ему оперативную помощь, связанную с обработкой ПДн. Члены ассоциации всегда будут в курсе последних нововведений в сфере персональных данных и смогут отстаивать свои интересы перед государством.

В результате компаниям будет проще ориентироваться в непростой теме персональных данных. А это поможет минимизировать количество утечек, а как следствие — избежать миллионных штрафов и репутационных потерь.

Узнать, что ещё даёт членство в Ассоциации →

• Обучайте сотрудников. Письменные инструкции здесь малоэффективны. А вот оплачивать обучение и на примерах показывать, чем может обернуться несоблюдение правил — вполне рабочий вариант.

• В идеале — изначально нанимайте опытных и квалифицированных в области информационной безопасности специалистов. Хотя бы на руководящие должности.

• Старайтесь выявлять аномалии в поведении сотрудников, чтобы не допустить намеренных утечек данных.

• Если храните данные не у себя, а у других компаний, используйте только надежные сервисы. Например, один из основателей Ассоциации — маркетинговая омниканальная платформа Sendsay — хранит данные клиентов на российских серверах и прошла проверку служб безопасности топовых банков РФ.

• Если утечка всё же произошла, проведите тщательное расследование, чтобы найти причину утечки и не допустить такого в будущем.

• Найдите организацию, которая будет консультировать вас по информационной безопасности и помогать с правильным хранением ПДн. Возможно, ей для вас станет Ассоциация компаний по защите и хранению персональных данных.