Для эффективной защиты персональных данных следует делегировать ответственность не на юридическое лицо, а непосредственно на сотрудника, оказавшегося причастным к утечке информации, отметил в разговоре с ФБА “Экономика сегодня” руководитель направления “Кибербезопасность для населения” компании “Ростелеком-Солар” Олег Седов.
Минцифры разработало законопроект, предусматривающий уголовную ответственность за массовые утечки персональных данных, заявил глава ведомства Максут Шадаев.
Пандемийный 2020 год поставил рекорды по кибератакам
В результате перехода предприятий на удаленный режим работы в прошлом году количество атак на счета клиентов кредитных организаций выросло на 88% по сравнению с 2019 годом. На блокировку операторам связи было направлено 26 397 телефонных номеров, что превышает показатель 2019 года на 86%, отчитался Банк России.
Кибератаки были не только внешние, но и внутренние. Утечка конфиденциальных документов и персональных данных в 2020 году коснулась 91% российских компаний. В 60% случаев потеря информации стала результатом намеренных действий сотрудников, говорится в исследовании разработчика средств информационной безопасности SearchInform.
“Большая проблема заключается в том, что сотрудники, допущенные к чьим-то персональным данным, не до конца понимают важность конфиденциальности и защиты подобной информации. Поэтому множество сведений утекает по причине небрежного отношения к ним”, — объясняет Олег Седов.
К примеру, в декабре 2020 года именно следствием человеческого фактора объяснили в департаменте информационных технологий Москвы утечку личной информации десятков тысяч горожан, переболевших коронавирусом.
К чему приводят утечки данных?
Сегодня ситуация в сфере защиты личной информации сложилась таким образом, что очень сложно доказать, привел ли факт утечки к каким-либо тяжелым последствиям.
“Не существует инструментов, позволяющих утверждать, что скомпрометированные данные причинили ущерб конкретному лицу. В последние годы были случаи утечек персональных данных в крупных компаниях, но насколько они повлияли на бизнес пострадавших организаций, неочевидно”, — подчеркивает Седов.
В прошлом году в даркнет выложили сразу две базы данных с личной информацией от 20 до 100 тыс. клиентов Сбербанка. Поскольку не было возбуждено ни одного дела по факту жалобы пострадавшей стороны, то развитие событие не получило. Пострадавшие стороны даже не знали, что их данные оказались в чужих руках, соответственно, не могли оценить последствия.
“Вопрос можно решить, персонализировав ответственность: отвечать за утечку личных данных следует не компании как юридическому лицу, а непосредственно сотруднику, который оказался причастным к произошедшему”, — уверен Олег Седов.
Что касается внешних кибератак, то предъявить обвинение и осуществить наказание, в том числе уголовное, как предлагает Минцифры, зачастую не представляется возможным. Следствию приходится иметь дело с роботами, автоматическими программами, осуществляющими звонки из колл-центров мошенников.
Как защитить свои личные данные, пока дорабатывают законы?
Игроки рынка кибербезопасности называют профилактику, наверное, важнейшим способом защиты личных данных.
“Ориентироваться можно на состояние ваших счетов. На вас могут оформить кредиты, о которых вы не знаете. По закону вы имеете право два раза в год сделать запрос кредитной истории и проверить, нет ли у вас неожиданных долговых обязательств. Не стоит пользоваться странными гаджетами и устанавливать подозрительные приложения. Это все относится к элементам киберкультуры”, — отметил Седов.
Есть технологии, позволяющие контролировать любые данные организаций. Например, системы DLP уберегут от утечки конфиденциальной деловой и личной информации, а также не дадут совершить неверные действия: отправить письмо или деньги не тому адресату.
Нужны некие этические усилия, поднимающие вопрос на уровень руководства, которому следует понимать, что пренебрежение в вопросах конфиденциальности данных накладывает тень на репутацию того или иного бренда.
Вопросы кибербезопасности и кибергигиены являются в большой степени личной ответственностью каждого человека. Можно не быть целью злоумышленников, но стать их жертвой, когда с помощью ваших персональных данных могут причинить вред целым структурам, заключил эксперт.
Дарья Белова
