Иллюстрация: pixebay.com
В США сотовый оператор выплатит $0,5 млрд за утечку информации об абонентах, а в это время в России «Гемотест» получил штраф за утерю данных клиентов всего в 60 тыс. руб.
Мировое завершение крупного скандала в США
Крупнейший американский сотовый оператор T-Mobile (более 100 млн клиентов) выплатит $350 млн на урегулирование ситуации с утечкой данных год назад и потратит $150 в 2023 году на укрепление безопасности.
В августе 2021 года в открытом доступе оказались данные более 80 млн клиентов компании, включая номера социального страхования, имена, фамилии, данные водительских прав и других удостоверений личности. Причиной утечки была названа кибератака.
В итоге T-Mobile получила групповой иск. По итогам переговоров с адвокатами пострадавших компания вышла на мировое соглашение и на прошлой неделе объявила о готовности выплатить $350 млн группе пострадавших (включая административные расходы и гонорар адвокатов) и взяла на себя обязательства вложить в инфраструктуру кибербезопасности $150 млн в ближайшем году. Утверждение условий мирового соглашения ожидается в декабре.
Отечественные практики
Между тем у нас вчера стало известно о том, компания «Гемотест» получила штраф в размере 60 тыс. руб. за одну из крупнейших утечек персональных данных в истории России.
В мае на теневом форуме появилось предложение о продаже базы данных клиентов медицинской лаборатории «Гемотест». Предлагалась информация о 30.5 млн клиентов, а позже еще была выложен массив с 554 млн результатов анализов и информация об уязвимости, через которую злоумышленники получили доступ к данным. Компания подтвердила факт утечки в ходе хакерской атаки и обещала обратится с заявлением в правоохранительные органы.
Подобным же образом был наказан и сервис «Яндекс.Еда»: еще одна громкая история этого года. За утрату данных 50 млн клиентов компания получила штраф в 60 тыс. руб.
В марте в открытый доступ был выложен массив данных из 50 млн строк с персональной информацией пользователей сервиса. Позже злоумышленники сделали визуализацию данных, привязав их к карте. В «сливе» был обвинен сотрудник компании, которая пообещала сотрудничать с правоохранительными органами.
Преступления и наказания: диалектика
Текущий год в России необычайно богат на скандалы с потерей персональных данных. Однако информации о штрафах в медиа больше не появлялось. Да и размер штрафов, конечно, вызывает улыбку: компании с миллиардными оборотами получают штрафы на сумму, которая меньше средней зарплаты в городах-миллионниках.
В это время в мире за неправомерное обращение с персональными данными крупные IT-компании штрафуются на миллионы и миллиарды долларов и евро. В России же ответственность за утерю клиентских данных – штраф от 60 тыс. руб. до 100 тыс. руб., и она очевидно не пугает компании.
Такая разница в подходах к утечкам персональных данных, конечно, удручает. Мировая практика показывает, что внушительные размеры штрафов способны держать в тонусе компании и стимулировать их уделять достойное внимание защите клиентской информации.
После череды крупных скандалов этой весны с систематическими сливами личной информации пользователей онлайн-сервисов Минцифры предприняло попытку реформирования законодательства и ужесточения наказаний за недолжное обращение с персональными данными. В частности, ведомство предложило ввести оборотные штрафы (штраф рассчитывается в виде процента от выручки компании) – и тогда выплаты за нарушения станут значительно более серьезными. Однако законопроект еще даже не подан на рассмотрение законодателям, а уже накал строгости в нем снижен и пересмотрен: так, за первый факт потери данных компании уже предлагают не штрафовать никак вообще.
А пока закон в стадии разработки, мы надеемся, что бизнес все же сделает правильные выводы о ценности персональных данных клиентов и начнет предпринимать конкретные меры по их защите, не дожидаясь их попадания в открытый доступ.
