Персональные данные: эра ответственности

Компрометация данных, взломы, хищения - такие сообщения мы, увы, все чаще видим в СМИ. Атаки злоумышленников на финансовые системы участились, причем, не только в нашей стране. Во всем мире наблюдается взрыв преступной киберактивности.

Это - общее. А каковы отличия происходящего «у нас» и «у них»?

Явно мало информации об инцидентах – это, увы, у нас.

Да, какой-то банк «ограбили», да, прошла успешная атака - это неприятно. Но что за банк - неизвестно. Я сам недавно в кулуарах большого форума по ИБ слышал, как специалисты по информационной безопасности вполголоса друг у друга спрашивали: какой банк атаковали и что собственно произошло? Официальной информации не поступило.

Уже не говорю о конкретных персоналиях, допустивших печальное событие. Кто не досмотрел? Кто и как наказан? Об этом не сообщается (может быть - за редчайшим исключением).

А что у них, на «западной» стороне?

Мировой статистики с фактами и персонами явно больше.

Свежие примеры.

В ноябре 2017 представители Uber сами (!) выпустили заявление о взломе (взлом был аж в октябре 2016 года). В руки злоумышленников тогда попали данные 50 млн. пассажиров и 7 млн. водителей со всего мира. По данным Bloomberg, после взлома компания пыталась купить молчание злоумышленников за $100 000, но не получилось. Сам взлом послужил поводом для ключевых отставок в UBER, а сама компания понесла огромные убытки - после объявлений о компрометации более половины клиентов закрыли аккаунты и перестали с UBER сотрудничать.

Другой мировой лидер - компания PayPal – также сообщила о компрометации конфиденциальных данных 1,6 миллионов клиентов. Вина вменена TIO Networks - канадскому подразделению платежей, приобретенному PayPal в феврале 2017. Проблемы TIO привели к приостановке операций 10 ноября 2017 года.

Перечень инцидентов можно продолжить - среди них кража данных 143 млн. клиентов Equifax — бюро кредитных историй, агрегирующего и обрабатывающего данные более чем 800 млн. человек из 24 стран, включая Россию. Заметным в СМИ оказался и взлом кошельков Parity для криптовалюты Ethereum – злоумышленникам удалось похитить криптовалюту, стоимость которой эквивалентна $30 млн.

Что важно во всех событиях?

Обо всех подобных случаях сообщают сами компании, допустившие факты хищений. Действуют они явно не по доброй воле, а скорее потому, что ужесточилось законодательство: за сокрытие информации можно пострадать больше, чем в результате самого хищения. Напомню, в мае 2018 года вступает в силу европейский закон о защите персональных данных GDPR, в соответствии с которым штраф в размере 10 млн. евро (или 2% от оборота компании – в зависимости от того, какая цифра больше) получит компания за попытку утаить факт компрометации персональных данных. Сенат США недавно одобрил схожий законопроект (закон еще не принят), в соответствии с которым 5 лет тюрьмы может получить глава компании, пытавшийся утаить факты компрометации данных. Это, конечно, весомые стимулы говорить общественности правду.

У нас тоже появились симметричные законодательные акты.

Так, в январе 2018 года вступил в силу 187-ФЗ, существенно ужесточивший ответственность руководителей организаций за нарушение законодательства о защите критической инфраструктуры (под это определение попадают почти все банки). Теперь «нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового».

Опять-таки - очень весомый аргумент следить за сохранностью данных. Подождем, какова станет реальная правоприменительная практика по 187-ФЗ. Если пойдет все как задумано - мы тоже узнаем много новых событий и имен «героев», которым до сих пор удавалось оставаться безымянными.