Утечки личных данных в России достигли рекордных значений

В последнее время в России наблюдается рост интереса к скомпрометированным базам данных россиян с чувствительной информацией о их личной жизни: медицинских тестах, кредитах и даже заказах еды. В 2021 году произошло только четыре крупных утечки персональных данных, в результате которых стало доступно 2,7 млн записей. В 2022-м — более 140 утечек с около 600 млн записей о гражданах, а за семь месяцев 2023 года РКН зарегистрировал более 150 таких случаев, сообщили «Известиям» в службе.

По словам заместителя начальника Роскомнадзора Милош Вагнер, сейчас закон дает право операторам персональных данных самим решать, как защищать личную информацию пользователей и клиентов. Поэтому многие часто делают минимум. Он отметил, что есть разница между таким оператором, как детский сад, которому не нужны сложные организационные меры и много сотрудников по IT-безопасности, и большими сервисами, например, маркетплейсами.

С целью повышения уровня защиты личной информации своих пользователей и клиентов РКН подготовил рекомендации для всех операторов, которые обрабатывают персональные данные , — от ИП до крупных компаний. Среди них:

• «Дробление» личных данных, то есть хранение каждой конкретной информации о человеке — имя, номер телефона, покупка — в разных базах вместо одной ячейки. Таким образом, злоумышленникам будет сложнее привязать данные к конкретному физическому лицу в случае утечки сведений из нескольких баз. Впрочем, в РКН подчеркивают, что полностью исключить угрозу нельзя. Однако подобные меры сильно затруднят деятельность таких людей.
• Минимизация перечня персональных данных, то есть использование операторами только той информации, которая действительно необходима для оказания услуги, продажи товаров и иной деятельности. Операторы не должны накапливать данные «на всякий случай» и формировать профили пользователей, «если это не жизненно нужно для организации».
• Своевременное уничтожение персональных данных после «достижения цели обработки», например, после оказания услуги.
• Использование собственных технических и программных средств, принадлежащих самому оператору, а не третьим лицам.

Милош Вагнер подчеркнул, что все операторы персональных данных несут ответственность за конфиденциальность данных наших граждан. «Да, организация-оператор действительно выполнила минимальные требования закона и считает, что таким образом обеспечила безопасность личных данных людей, а в случае, если они утекают, то они не считают себя виноватыми», — отметил Вагнер.

По оценкам РКН, в России насчитывается не менее 5,5 млн операторов личных данных, которые зарегистрированы в ЕГРЮЛ и ЕГРИП.

Несмотря на то, что такие рекомендации не предполагают изменения законодательства и на первый взгляд не носят обязательного характера, операторам с ними всё же придется считаться, пояснили в службе.

«…судья, разбираясь в ситуации, также может принять во внимание тот факт, что Роскомнадзор предупреждал о возможной угрозе и выступал с рядом рекомендаций, которые позволили бы ее предотвратить. Но организация решила не брать их в расчет, решив сэкономить на безопасности своих клиентов», — подчеркнул Милош Вагнер.

В службе добавили, что рекомендации не внесут существенных коррективов в функционирование крупных сервисов обработки данных, таких как «Госуслуги».

В РКН отметили: неизвестно, как утечка данных может навредить людям, потому что способов много. IT-эксперты также говорят, что атакующие могут использовать данные для разных целей. Например, для атак на бизнес, сталкинга или мошенничества. Жертвы таких атак рискуют не только деньгами, но и имуществом, жильем или даже свободой.

Напомним, что Борис Чернышов, заместитель председателя Госдумы от фракции ЛДПР, обратился к министру цифрового развития, связи и массовых коммуникаций Максуту Шадаеву с инициативой создать и ввести специальный знак “ненадежного оператора” для тех компаний, которые допустили утечку персональных данных своих клиентов.

Он считает, что такой знак поможет россиянам при выборе той или иной компании сразу узнать, можно ли ей доверять или нет. Кроме того, инициатива повысит осведомленность особо уязвимых групп населения - несовершеннолетних и пожилых людей, а также заставит операторов персональных данных больше заботиться о их защите.