17% госкомпаний узнают об утечке из СМИ
По данным опроса «СёрчИнформ», с попытками слива информации в 2020 году столкнулись 58% российских компаний, больше трети всех подобных инцидентов – это потеря персональных данных. В госсекторе на персональные данные приходится почти 40% всех утечек.
Число организаций, ежегодно сталкивающихся с утечками, остается относительно постоянным – в прошлом году о попытках слива сообщали 59% компаний в России и половина опрошенных в СНГ. По мнению аналитиков «СёрчИнформ», причина в том, что оснащенность специализированным ПО для предотвращения и выявления сливов и утечек, растет медленно.
Защищенность госкомпаний ниже – 17% узнают об утечке из публикаций в СМИ или сообщений пострадавших, а не в результате собственного мониторинга и расследования. Это на 7% больше, чем в частном секторе. Госорганизации оснащены только базовым набором защитных инструментов (антивирус и разграничение доступа), внедрение более продвинутых средств для защиты данных остается недостаточным, в том числе от утечек с участием инсайдеров. Но даже если системы закупаются, количество лицензий на порядки отличается от реального числа пользователей.
Это типичная ситуация, когда цифровизация обгоняет безопасность. Но в карантинный год новые ИТ-сервисы запускались экстренно, поэтому тенденция только усилилась. Организации успевали обеспечить только базовую безопасность.
«Полный набор всего инструментария для защиты данных в российских госорганах почти не встретишь. Но критичнее то, что эти программы часто стоят без дела, потому что с ними некому работать. Обеспеченностью кадрами в госсекторе ниже, чем в частном – 70% опрошенных сообщили, что у них нет выделенного отдела кибербезопасности. По нашим наблюдениям в госсекторе на 5000 человек приходится 1 ИБ-специалист в то время как в частном безопасность такого коллектива обеспечивает целый отдел (от 2 до 7 человек в зависимости от специфики бизнеса). Критичнее всего ситуация в самых уязвимых сферах (это учреждения здравоохранения, образования) просто нет ресурсов на организацию защиты. У каждой поликлиники и больницы нет возможности нанять хорошего ИБ-специалиста, а главврач как топ-менеджер не должен разбираться в ИТ. Решение проблемы – централизованная защита в формате аутсорсинга информационной безопасности с привлечением профильных организаций», – комментирует Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».
Согласно данным опроса, государственные организации реже, чем частные умалчивают об инциденте (41% против 60%). Таким образом в среднем 57% всех утечек персональных данных остается в тени – организации скрывают их от пострадавших, СМИ и регуляторов. И хотя «молчунов» в целом еще больше половины, позитивная тенденция налицо: в 2017 году, например, 86% скрывали утечку от общественности, в прошлом году – 63%.
Отношение организаций к утечкам данных меняется из-за общественного резонанса, и пандемия только подстегнула готовность госсектора признавать инциденты. В 2020 году случились десятки утечек персональных данных граждан, которые было невозможно скрыть. Наиболее заметными и резонансными оказались случаи в здравоохранении, особенно публикация в открытом доступе целого архива с данными обо всех заболевших COVID-19 в Москве. Все эти скандалы подстегивают законодательные процессы.
«Современные «законодатели мод» в обеспечении защиты данных – Евросоюз, где действует GDPR, и штат США Калифорния, опирающийся на Закон о защите конфиденциальности потребителей (CCPA). За неисполнение требований CCPA, например, нарушитель может быть оштрафован на сумму от $2 500 до $7 500. А если данные пользователя были потеряны или украдены, компания должна будет заплатить от $100 до $750 каждому пострадавшему. Максимальный же штраф по российскому КоАП сегодня составляет 75 тысяч рублей независимо от объема утечки, и эта сумма направляется не пострадавшему, а в российский бюджет. Именно размер ответственности за нарушения закона является залогом соблюдения правил приватности в ЕС и США. Поэтому один из шагов в этом направлении — подписанный президентом в конце декабря закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон "О персональных данных», который даст россиянам право требовать полного или частичного удаления персональных данных и возможность узнать, какие третьи лица получат от оператора доступ к ним. В ближайшее время необходимо будет принять меры по значительному повышению существующих в КоАП штрафов и приложить усилия для создания «института компенсаций» (см. заключение Комиссии по правовому обеспечению цифровой экономики МО АЮР по вопросу «Компенсация субъектам персональных данных как новый механизм защиты прав граждан от нарушений законодательства о персональных данных»). Кроме того, следует ввести независимый контроль и надзор за хранением и обработкой данных и используемых для этого алгоритмов», – говорит Александр Журавлев, председатель Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России.
В исследовании «СёрчИнформ» приняли участие 833 человека: начальники и сотрудники ИБ-подразделений, эксперты отрасли и руководители организаций из коммерческой (71,5%), государственной (26,5%) и некоммерческой сфер (2%). Исследование затронуло IT, нефтегазовый сектор, промышленность и транспорт, кредитно-финансовую сферу, ритейл, здравоохранение и другие отрасли. Анкетирование проводилось в городах России и СНГ. Респонденты были опрошены в сентябре – ноябре 2020 года в офлайн-формате в регионах России и онлайн в странах СНГ во время конференции Road Show SearchInform.