Надо не повара штрафовать, а рецепты менять. Как остановить утечку данных

Штрафы за утечку персональных данных могут вырасти в 10 раз.  В случае принятия поправок к КоАП  должностным лицам придется заплатить 100 тысяч рублей вместо прежних 10 тысяч. Одни считают эту меру губительной для малого бизнеса, другие, что  маловато будет, учитывая стоимость баз данных на черном рынке.

В последнее время утечки данных стали обычным делом. Практически ежедневно приходят сообщения о сливе  персональной информации то из одного банка, то из другого. Данные утекают отовсюду, например, из компаний сотовых операторов. Более того, доверять свои данные  стало небезопасно даже Госуслугам. По данным InfoWatch,  за последний год число случаев утечки баз с персональными данными выросли на 40%, а на фоне перехода на удаленную работу из-за пандемии, злоумышленники в два раза чаще пытаются получить доступ к данным. Причем, как заметил в эфире радио Sputnik  президент консорциума «Инфорос», эксперт  в области информационной безопасности Андрей Масалович, он не помнит, чтобы хоть одно расследование в отношении утечки проводилось до конца.

«Что вот этот менеджер вот этого банка допустил  утечку, вот этот ее  выложил в даркнет, а вот этот получил за нее деньги. Хорошо бы устроить две-три публичные порки и тогда отношение к утечкам начнет меняться», - отметил эксперт.

Пока же банки либо отрицают сам факт утечки, либо  заверяют, что средства клиентов в безопасности, данные в базах устаревшие и риска никакого. По мнению Андрея Масаловича, пока в России не введут персональную ответственность для банков за утечку данных, вряд ли что-то поменяется. То  есть, за кражу информации должен отвечать не отдельный сотрудник, а кредитное учреждение, как на Западе, где штрафы очень сильно зависят от размера компании и размера ущерба. Например,  в законодательстве США есть нормы, которые обязывают банк возмещать похищенное мошенникам, если имела место утечка. При этом, надо понимать, что для крупного банка нужен один подход, а для среднего и мелкого – совсем другой, пояснил эксперт.

«Например, стоимость баз данных крупных банков в даркнете в  прошлом году  составляла в среднем  70 рублей за  одну запись при размере базы до 150 тысяч  записей, то есть до 10 с половиной миллионов. Соответственно,  это очень ликвидный товар на черном рынке и даже если банк вычислит злоумышленника и возьмет с него вот эти 500 тысяч штрафа, то, тот, кто украл, все равно останется с приличным кушем. Следовательно, эта мера не будет сдерживать злоумышленников от слива баз данных на продажу», - сказал Масалович.

С тем, что штрафы не соразмерны, согласен  и председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев. Эксперт отметил, что  штраф в 500  тысяч для крупных компаний является несущественным, так как их обороты гораздо выше, нежели возможная санкция.

«Стоимость баз данных при их продаже в даркнете значительно выше предлагаемых штрафов. И, как следствие, их нужно увеличить.  В Европе штрафы за утечку данных составляют до 4% оборота компании, и на практике  они достигают  более 20 миллионов евро и выше», - отметил юрист.

По мнению Александра Журавлева, штрафы за утечку данных должны быть сопоставимы  с существующими штрафами за нарушение хранения баз данных вне территории России, то есть  от 6  до 18  миллионов рублей.

Но одними штрафами  утечки не остановишь. Необходимы нормальные механизмы для компенсации слива персональных данных, считает эксперт.

«В России законом «О персональных данных» предусмотрено, что граждане могут взыскивать моральный ущерб и убытки, однако на практике эти нормы не работают. Как правило, суды присуждают крайне невысокие суммы, не более 15 тысяч в качестве морального ущерба. А это несоразмерно с тем, что может  случиться после попадания данных в сеть. А, если говорить о взыскании убытков, то эта норма и вовсе не работает, потому что гражданин должен доказать не только факт нарушения, но и размер убытков, а также причинно-следственную связь между нарушением и убытками», - считает Александр Журавлев.
По словам юриста, в данной ситуации  нужно упростить механизм получения компенсации  и сделать ее фиксированной. То есть, за каждый доказанный случай утечки данных граждане смогут требовать от бизнеса и госорганов компенсацию от 500 тысяч  до 5 миллионов рублей.