23.07.2024
В первом полугодии число компаний, чьи данные впервые утекли в сеть стало 150, тогда как годом ранее их было 119. Большая часть данных актуальна на текущий год, таким образом, наблюдается рост числа новых киберинцидентов. Пока от утечек данных больше страдают пользователи сервисов бизнеса, а не сами компании. Изменить ситуацию может введение оборотных штрафов для бизнеса за утечки, но соответствующий законопроект пока не продвинулся в Госдуме дальше первого чтения. По данным разработчика решений для борьбы с киберпреступлениями F.A.С.С.T. (ранее Group-IB) об утечках данных в первом полугодии, за этот период на теневых форумах и в закрытых Telegram-каналах были опубликованы данные 150 компаний, которые ранее нигде не появлялись. В первой половине 2023 года таких компаний было 119. Общее количество строк (непосредственно данных пользователей сервисов компаний), содержащихся во всех опубликованных базах, уже превысило 200,5 млн, тогда как за весь прошлый год специалисты насчитали 397 млн. Актуальность большинства баз приходится на 2024 год, большая часть из них включает ФИО пользователей, адреса проживания, пароли, даты рождения, паспортные данные, телефоны, говорят в F.A.С.С.T. Утечки баз данных компаний, специализирующихся на розничной торговле (интернет-магазины и другие платформы для онлайн-шопинга), составили примерно 30 % от общего числа утечек в 2024 году. Также жертвами злоумышленников стали российские IT-компании, страховые, энергетические, туристические и транспортные, образовательные, промышленные и медицинские компании. В начале 2024 года в открытом доступе впервые оказались те базы, которые могли передаваться только в узком кругу злоумышленников. В Роскомнадзоре сообщили, что за первое полугодие ему поступили уведомления о незаконном распространении персональных данных от 93 операторов данных. В первом полугодии в России больше всего от утечек пострадали промышленность, госучреждения и IT-компании. Стоит отметить, что утечки именно из IT-компаний зачастую приводят к взломам их клиентов, в том числе организаций из других отраслей. Приведенные цифры говорят о росте числа компаний, цифровизирующих свои сервисы, а также выходящих на рынок электронной коммерции, при том, что число кибератак не снижается, а сами компании не смогли повысить уровень кибербезопасности. Утечки позволяют мошенникам осуществлять атаки с использованием социальной инженерии. Что касается рисков для компаний, то эксперты возлагают надежды на законопроект об оборотных штрафах за утечки данных клиентов, который в начале 2024 года прошел первое чтение в Госдуме. В конце 2023 года в Госдуму были внесены два законопроекта, ужесточающих порядок работы с персональными данными. Первый вносит поправки к КоАП и устанавливает штрафы для юридических лиц в размере 0,1-3 % выручки за календарный год, но не более 500 млн руб. Второй касается уголовной ответственности за саму кражу и продажу данных. Весной Минцифры предлагало смягчить условия законопроекта о штрафах ко второму чтению, как это предлагала IT-отрасль, однако администрация Президента не одобрила доработанный вариант. В Ассоциации больших данных (АБД), куда входят «Яндекс», «Сбер», маркетплейсы, банки и т. д., признают, что данные клиентов для крупного бизнеса – основная ценность и компании принимают дополнительные меры для их сохранности. Однако в АБД поддерживают «разумное повышение административной ответственности», учитывая смягчающие обстоятельства и четко определенный состав правонарушения. Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. п. 1, 5 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»). Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ, ст. 90 ТК РФ).