Как сообщают «Ведомости», по статистике «Лаборатории Касперского», за прошлый год было зафиксировано 155 случаев публикаций значимых баз данных российских компаний. Чаще всего размещенные на специализированных площадках сообщения указывали на утечки из организаций в сфере ритейла, интернет-сервисов. Заметный рост публичных инцидентов, связанных с утечками информации в 2023 году, произошел в сферах финансов и здоровья.
В Positive Technologies отмечают, что утечка конфиденциальной информации происходила в каждой второй успешной атаке на организации России в 2023 году. Но объявлений об утечках стало меньше, так как часть их все еще скрывается: несмотря на закон, обязывающий оператора сообщать об утечке, эффективного механизма контроля и наказания за нарушения пока нет, поясняет заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков. «Компании готовятся выводить обработку персональных данных (ПД) на какие-то сторонние аффилированные компании с небольшим оборотом, репутация которых не играет ни для кого никакой роли. «Либо договариваться за спиной со взломщиками, чтобы те не публиковали данные сливов и не дискредитировали эти компании», — считает руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров. — Такие тенденции существуют, и поэтому число объявлений может снижаться».
По словам старшего эксперта по защите бренда Angara Security Виктории Варламовой, киберпреступники начали использовать аргумент «у вас произошла утечка данных» для шантажа и угрозы репутации бизнеса, даже если утечки данных на самом деле нет. «Если законопроект об оборотных штрафах будет принят, то велики риски, что этот аргумент станет трендом 2024 года», — предполагает она.
Законопроект об оборотных штрафах за утечку ПД обсуждается с весны 2022 года 23 января 2024 года он был принят Госдумой в первом чтении. Сейчас компании, допустившие утечку ПД, штрафуются на 100 000–300 000 руб. согласно ч. 1 ст. 13.11 КоАПа. Если законопроект будет принят, то за первый случай утечки данных компании будет назначен штраф в размере от 3 млн до 15 млн руб. в зависимости от количества записей, оказавшихся в открытом доступе. За повторные утечки компаниям будет грозить оборотный штраф от 0,1 до 3 % выручки за календарный год или за часть текущего года, не менее 15 млн и не более 500 млн руб.
Ранее «Телеспутник» писал, что общественная организация «Деловая Россия» направила в Госдуму предложения по смягчению ответственности операторов персональных данных за утечки, в частности по уменьшению штрафов на порядок — с 500 млн до 50 млн руб. Также речь идет о том, чтобы разделить ответственность допустившей утечку компании с поставщиком решений в области защиты данных.
