Персональные данные граждан: Проверить — проверим, но сохранность не гарантируем

Продукты онлайн заказывайте? Счёт в банке имеете? Услугами интернет-провайдера пользуетесь? Будьте бдительны: вы легко можете стать жертвой мошенников, ворующих персональные данные граждан.

Так, летом 2020 года в сеть попали данные почти пяти миллионов человек: фамилии, адреса, номера телефонов. База данных была выгружена с одного из порталов по поиску работы. Файлы можно было скачивать бесплатно, и они могли попасть кому угодно.

Но это на самом деле только цветочки. В апреле того же года на продажу были выставлены персональные данные россиян, оформлявших микрозаймы в 2017—2019 годах. База насчитывала около 12 миллионов записей, в которых, кроме имён, фамилий и номеров телефонов указывались паспортные данные и сведения об электронных кошельках. Для лучших продаж даже пробная бесплатная версия была выложена — с данными 1,8 тысяч человек.

В открытом доступе обнаруживались персональные данные клиентов ритейлеров, солидных банков, интернет-провайдеров, пользователей скидочных программ. Утекают и паспортные данные, и сведения об уплате налогов, и СНИЛС, и ИНН, и кредитные истории. В ряде случаев косячат службы кибербезопасности таких структур, чаще же целенаправленно действуют злоумышленники.

Грозит это разного рода неприятностями, в том числе финансовой ответственностью. Персональные данные могут, к примеру, помочь злоумышленникам подогнать фишинговое письмо под потребности намеченной конкретной жертвы, что увеличит вероятность выполнения ею навязываемых действий (ввод учетных/платежных данных на фишинговой странице, скачивание вредоносного файла и т. д.). На человека можно зарегистрировать предприятие, оформить кредит — а он даже не будет об этом подозревать.

С помощью персональных данных пользователя можно получить доступ к его аккаунтам и устройствам и пользоваться ими в своих целях: организовать от его имени фиктивный сбор средств больным детям или бездомным котикам, запустить фейковую информацию, больше узнать о других пользователях с целью мошеннической атаки на них.

А вот защитится от киберпреступников очень непросто. Поэтому Минцифры предлагает ввести добровольный ежегодный аудит для российских компаний — операторов личных (персональных) данных. В настоящее время министерство обсуждает эту идею с ФСБ и ФСТЭК.

Но вот поможет ли предлагаемая мера? Ведь аудит не гарантирует того, что персональные данные пользователей не попадут в руки преступников, а всего лишь смягчает наказание компании, допустившей утечку.

Кстати, о наказании. Его предполагается резко ужесточить. Так, глава конституционного комитета Совета Федерации Андрей Клишас в соцсети предложил ввести так называемые оборотные штрафы, которые будут применяться «к любым фирмам, собирающим персональные данные граждан». Размер этих штрафов зависит от выручки компании, да еще рассчитывается по нижней или верхней границе, в зависимости от тяжести нарушения. То есть проштрафившуюся структуру можно, при желании, ощипать как липку.

Озаботилась этой проблемой и Госдума. Член комитета по информполитике Антон Ткачев заявил, что необходимо повысить штрафы для компаний, допустивших утечку. «Думаю, оптимальное решение в этой ситуации — повышение штрафов для компаний-виновников. Причем взысканные деньги должны выплачиваться людям в качестве компенсаций», — отметил Ткачев.

Буквально на днях штраф за утечку персональных данных прилетел сервису доставки еды Delivery Club — на 80 тысяч рублей. В открытый доступ попали файлы с персональными данными курьеров сервисов Яндекс. Еда и Delivery Club. К слову, в начале августа Яндекс. Еду уже штрафовали на 60 тысяч рублей — за то, что в сеть попали данные клиентов.

Пока штрафы небольшие, по ч. 1 ст. 13.11 КоАП РФ они могут составлять от 60 до 100 тысяч рублей. А вот если их ужесточат?

Да еще в СМИ мелькала информация, что в России может быть создан специальный фонд материальной компенсации для пострадавших от утечек их персональных данных. Средства в этот фонд будут поступать как раз от штрафов, взыскиваемых с компаний, допустивших такие утечки.

Разумеется, предприниматели, понимая, что не могут дать 100% гарантию сохранности персональных данных клиентов, радостно бросятся к аудиторам в надежде, в случае чего, смягчить себе наказание. А круг аккредитованных компаний, которые получат право проводить аудит, довольно узок. И, похоже, что именно они больше всего выиграют от предложения Минцифры. А данные как утекали, так и будут утекать.

Подобный аудит не будет способствовать сохранности персональных данных, считает ветеран спецслужб Александр Михайлов.

— Это предложение — полнейшая чушь. Тут нет проблемы с системой безопасности или с технологиями, а есть человеческий фактор. Человек скачал информацию или вытащил жёсткий диск — какой аудит от этого защитит? Тут поможет только персональная ответственность. Надо выявлять и ловить мерзавцев, которые совершают это преступление, и привлекать их к уголовной ответственности. И наказывать их максимально строго. А уж как ловить — спецслужбы разберутся, у них достаточно инструментов. Других вариантов нет.

Граждане тоже сомневаются в том, что инициатива Минцифры будет способствовать сохранности их персональных данных.

«То есть я сам не могу сохранить свои данные, я их должен доверить сперва государству для, к примеру, открытия ООО или налоговой, но они почему-то не могут сохранить мои данные, и передают их дальше, как эстафетную палочку, опять каким-то компаниям».

«Получается, что паспорт я должен хранить как зеницу ока, потеряю — оштрафуют, да еще новый придётся получать. А вот мои паспортные данные могут гулять по сети, и я даже не буду подозревать об этом?» — недоумевают расстроенные пользователи.

И как-то начинаешь сомневаться, а так ли выгодны карты лояльности или онлайн сервисы, если пользование ими может сделать вас жертвой мошенничества? По крайней мере, до тех пор, пока персональные данные не будут надёжно защищены.