Нет «протечкам»: как компании защищали данные в 2024 году и реагировали на утечки
Привет, Хабр!
По случаю Дня защиты персданных собрали для вас небольшое исследование о том, как компании реагируют на утечку информации, в особенности — персональных данных. Анализировали известные утечки из российских компаний за 2024 год, о которых писали СМИ и Телеграм-каналы (@dataleak, @data1eaks, @in4security). Делимся результатами, а также небольшой историей праздника и информацией по обновлениям в российском законодательстве в сфере ПДн. Добро пожаловать под кат.
Прошлое: немного о празднике
Международный день защиты персональных данных отмечается с 28 января 2007 года. Такое решение было принято 26 апреля 2006 года комитетом министров Совета Европы. Дата соответствует годовщине подписания Конвенции Совета Европы от 28 января 1981 года «О защите лиц в связи с автоматизированной обработкой персональных данных» — первого международного инструмента в сфере защиты ПДн. В России же в 2006 году был принят федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Настоящее: как обновилось законодательство по защите ПДн в России за последнее время
2022 год
2023 год
Вступили в силу:
Приказ Роскомнадзора № 178:
• Устанавливающий критерии степеней вреда от утечек в зависимости от состава пострадавших данных и условий их обработки.
Приказ Роскомнадзора № 179:
• Устанавливающий требования по уведомлению Роскомнадзора об уничтожении персданных с приложением выгрузки из журнала событий информационной системы.
Приказ Роскомнадзора № 187:
• Устанавливающий требования к форме, порядку и содержанию уведомлений об инциденте с персональными данными.
Поправки в КоАП РФ:
• Ч. 2 ст. 13.11 — штрафы за обработку ПДн без согласия увеличены в полтора раза: до 100–300 тыс. рублей для должностных лиц и до 300–700 тыс. для юридических лиц.
2024 год
Принят пакет законов, устанавливающих уголовную ответственность и увеличенные штрафы за нарушения с персданными. Закон об изменениях в Уголовный кодекс вступил в силу.
Нарушение | Лишение свободы | Штраф |
Неправомерный доступ, передача, использование персданных | до 4 лет | до 300 тыс. рублей |
Те же действия с биометрией и персданными спецкатегорий, а также детей | до 5 лет | до 700 тыс. рублей |
Те же действия: — по корыстным мотивам; — группой лиц; — с использованием служебного положения | до 6 лет | до 1 млн рублей |
Те же действия, повлекшие трансграничную передачу персданных | до 8 лет | до 2 млн рублей |
Те же действия: — повлекшие тяжкие последствия (вред жизни и здоровью людей, банкротство компании); — организованной группой | до 10 лет | до 3 млн рублей |
30 мая 2025 года вступит в силу закон об ужесточении административных штрафов за утечку персданных:
Нарушение | Штраф для должностных лиц органов власти и госучреждений | Штраф для коммерческих предприятий и ИП |
Неуведомление об обработке персданных | 30–50 тыс. рублей | 100–300 тыс. рублей |
Неуведомление об утечке персданных | 400–800 тыс. рублей | 1–3 млн рублей |
Утечка менее 10 тысяч записей (менее 1000 пострадавших) | 50–100 тыс. рублей | 150–300 тыс. рублей |
Утечка 10–100 тыс. записей (1–10 тыс. пострадавших) | 200–400 тыс. рублей | 3–5 млн рублей |
Утечка 0,1–1 млн записей (10–100 тыс. пострадавших) | 300–500 тыс. рублей | 5–10 млн рублей |
Утечка более 1 млн записей (более 100 тыс. пострадавших) | 400–600 тыс. рублей | 10–15 млн рублей |
Повторная утечка >10 тыс. записей (более 1 тыс.пострадавших) | 0,8–1 млн рублей | 1–3% годовой выручки (15–500 млн рублей) |
Утечка персданных спецкатегорий в любом количестве | 1–1,3 млн рублей | 10–15 млн рублей |
Повторная утечка персданных спецкатегорий | 1,5–2 млн рублей | 1–30% годовой выручки (20–500 млн рублей) |
При этом соблюдение ИБ-требований в течение года, инвестиции 0,1% выручки и привлечение лицензированных компаний для обеспечения ИБ в течение 3 лет до инцидента снижают ответственность оператора за повторную утечку в 10 раз.
Данные исследования: что мы увидели в 2024 году
Пока правительство принимало новый законопроект, данные в компаниях утекали стабильно часто. Роскомнадзор зафиксировал за 2024 год 135 случаев утечки баз данных, в которых содержались более 710 млн записей о россиянах. Если их количество разбить на весь календарный год — утечка происходила примерно раз в 2,5–3 дня. Самый масштабный инцидент был зафиксирован в феврале: утекло 500 млн строк, что больше суммы всех утечек за 2023 год. В 2023-м РКН выявил 168 нарушений, но утекло 300 млн записей.
По нашим подсчетам, публично стало известно о 74 инцидентах. Вместе с персданными клиентов утекали и другие сведения: телефоны родителей учеников (при утечке из учебных заведений), даты покупок с сайтов доставок, последнего входа/выхода с сервисов, купоны на скидку, комментарии по заказам, пароли и даже идентификаторы Skype и модели смартфона пользователей. Какое раздолье для мошенников, которые могут таргетировать интернет-рекламу с фишинговым сайтом или делать скрипт звонка под определенного человека! Только за 2024 год россияне перевели мошенникам, использующим ИТ-инструменты и социальную инженерию, от 250 до 300 млрд (!) рублей.
Чаще всего инциденты с конфиденциальными данными происходят в компаниях ритейла — это почти половина от всех случаев. 14% инцидентов приходится на финансовые и ИТ-компании (в том числе те, что обслуживают государственных и около-государственных заказчиков), по 7% на сферу здравоохранения и общественного питания. При этом несколько организаций столкнулись с утечкой дважды. Остальные утечки происходили в организациях, чьи инциденты по количеству не превысили 2%: образование, туризм, логистика и др.
Практика показывает, что очень мало организаций готовы заявлять об утечках открыто. Подавляющее большинство предпочитает воздержаться от комментариев в СМИ или от публичных заявлений на своем сайте или в блоге — это 83%. Чаще всего умалчивают об утечках малые компании, чье название еще не стало «брендом». Прямо подтвердить утечку в СМИ решили только 5% компаний. Однако у одной из компаний нашлась отговорка: причиной могла стать уязвимость на стороне. Еще 4% компаний «оправдались» тем, что в базе были некритичные данные или утекла только малая часть базы. Полностью отрицают утечку 4%, а 3% хоть и отрицают, но передают информацию об инциденте в Роскомнадзор.
После инцидентов организации восстанавливают работу сервисов, проводят проверку всех систем безопасности, при необходимости сбрасывают все пароли в системе, меняют ключи от серверов и сервисов, которые могли быть скомпрометированы, расследуют утечку и отправляют данные в Роскомнадзор. Публично в СМИ Роскомнадзор заявлял о проверке, как минимум, 7 компаний. Из них 5 организаций сразу не уведомили ведомство об инциденте и никак не высказались в СМИ.
А еще мы анонимно спросили 1000 ИБ-шников про их реакцию на утечки. Вот, что узнали.
Кстати, в отрыве от исследования публичных инцидентов мы регулярно анонимно опрашиваем ИБ-специалистов из разных компаний (в этом году более 1000 человек), как у них обстоит с ИБ — и, в частности, как они поступают в случае утечки. В 2024 году только 3% ответили, что были бы готовы оповестить широкую общественность. Зато 26% информируют об инциденте клиентов и партнеров, а регулятору отчитывается 31%. Тизер: полное исследование уровня ИБ в российском бизнесе и госсекторе за 2024 год опубликуем уже скоро.
Компаниям все еще не хватает осознанности и открытости для того, чтобы признать инцидент и передать информацию регулятору. Иногда не хватает знаний, какие действия нужно предпринимать, если произошла утечка, и как сообщить о ней клиентам. Еще в 2022 году мы собрали два бесплатных полезных материала на эту тему: Чек-лист »5 шагов для устранения последствий утечки» и хау-ту «Как защитить ПДн и выполнить требования 152-ФЗ». Можно воспользоваться ими, чтобы собрать свою инструкцию на случай чрезвычайных ситуаций с персданными.
Однако мы все-таки пожелаем вам никогда не столкнуться с такими инцидентами. Пусть ваши ПДн и данные клиентов всегда будут под надежной защитой, чтобы никакие чек-листы по предотвращению последствий утечек вам не пригодились!
Будет интересно узнать ваше мнение: стоит ли компаниям рассказывать об утечке персональных данных и как это лучше сделать (на своем сайте, в почтовой рассылке, в СМИ, в соц.сетях и т.п.)?
