Наказывать рублём за утечку данных

Гости
Иван Бегтин
председатель Ассоциации участников рынка данных, директор АНО «Инфокультура»
Андрей Масалович
президент консорциума «Инфорус», специалист по кибербезопасности

Александр Денисов: Данные подштрафуют от утечек. Ассоциация юристов России предлагает депутатам и Роскомнадзору ввести финансовую ответственность для компаний, по оплошности которых утекли персональные данные клиентов. Вот по решению суда их намерены штрафовать, предлагается оштрафовать на сумму от 500 тыс. руб. до 5 млн.

Ольга Арсланова: Да, но сейчас штраф тоже предполагается, но существенно меньше: где-то 75 тыс. руб. И по факту даже до того, чтобы его выписать, доходит далеко не всегда. С этой ситуацией юристы не согласны и считают, что нужно меры ужесточить. Давайте поговорим о том, будет ли это работать, зачем это нужно и как много россиян вообще сталкиваются с утечкой данных, прямо сейчас. Звоните в прямой эфир, рассказывайте, если у вас есть какая-то история, есть печальный опыт. Поделитесь с нами. А мы приветствуем в эфире председателя Ассоциации участников рынков данных Ивана Бегтина. Иван, здравствуйте.

Александр Денисов: Здравствуйте, Иван.

Иван Бегтин: Здравствуйте.

Александр Денисов: А вам не кажется, что поздновато спохватились? Что все, что можно, уже давным-давно утекло? Это уже не отличить, знаете, от согласия на обработку данных. Чуть ты дернешься: «А че это мои там данные утекли?» – «Так ты же сам галочку поставил». В приложении, в банке подписывая и прочее. Уже как-то за штрафы-то браться поздновато.

Иван Бегтин: Но, конечно, не поздно, да. Я бы сказал: насчет штрафов я не согласен. По крайней мере в том виде, в котором сейчас это показывается. А в принципе, еще не все данные утекли. Конечно, еще данные не со всех видеокамер утекли, не все ваши биометрические данные утекли, ваши госуслуги не все. А уж про врачебную тайну и болезни, которые у вас есть, еще тоже далеко не все знают.

Александр Денисов: Иван, а у нас нет никакой врачебной тайны, поскольку медицины нет. Тут бояться нечего. Утечь нечему в принципе, да-да.

Иван Бегтин: Медицины нет, а врачебная тайна все-таки есть.

Александр Денисов: Да, это врачебная тайна – что медицины нет.

Ольга Арсланова: А мне вот интересно: штрафы, особенно такие серьезные штрафы до 5 млн. руб., а как точно определить источник утечки? Ведь для того, чтобы выписать этот штраф, нужно быть абсолютно уверенным, что вот именно оттуда данные, там, клиентов, я не знаю, какие-то случайные данные, утекли.

Иван Бегтин: В некоторых случаях это возможно. Когда понятно, что это, например, документы, выброшенные на помойку и которые принадлежали какой-то конкретной организации.

Ольга Арсланова: А, т. е. там прямо штампик стоит.

Иван Бегтин: Ну, там стоит штампик, какие-то есть другие атрибуты, которые позволяют точно идентифицировать.

Александр Денисов: Как карты Сбербанка, помните, нашли в парке Горького целую коробку с кредитками? Точнее, с дебетовыми.

Иван Бегтин: Ну, это не только к Сбербанку, это ко многим относится банкам и другим учреждениям. Но я скажу честно: я считаю, что модель штрафов действенна, но она, во-первых, должна быть совершенно иной, и это не 500 тыс. или там 5 млн., а они должны быть инкрементальные, связанные к объему потери и к присутствию компании на рынке, ее некоторому весу и значимости. Для какого-нибудь Яндекса или Mail.Ru штраф даже в 5 млн. – ерунда. А для малого бизнеса и индивидуального предпринимателя с годовым оборотом на такую же сумму это может быть катастрофой. Поэтому вот здесь у меня, конечно, есть большие разногласия с автором вот этой новеллы. Но самое главное – это в принципе модель штрафов работает плохо. Необходимо проверять то, как эти компании, работающие особенно с большими персональными данными, это осуществляют, вообще насколько они не нарушают закон в процессе их обработки. У нас есть гиганты, такие, как Яндекс.Ру, Ростелеком, Сбербанк и все в принципе крупные банки к ним можно отнести, которые должны проходить такой технологический аудит на ежегодной основе. Это в каком-то смысле гораздо большая защита от утечек данных, чем постфактум-наказание со штрафами. Постфактум-наказание – это такая страшилка, чтобы все перепугались и перестали оказывать услуги индивидуализированные…

Александр Денисов: Иван, а вот вопрос насчет возмещения ущерба вы затронули. А как тут доказать? Потому что – одно дело данные, они утекли, да? А другое дело – когда звонят, скажем прямо, пользователю-чайнику, а чайником может стать каждый (даже вот были случаи – и работники ЦБ), и говорят: «Вот у вас такая-то сумма на счете, зовут вас так-то, у вас какие-то проблемы, вот нам назовите цифры, и мы защитим ваши деньги». Человек по своей дурости это называет и теряет их. И где тут, чья вина? Того, кто выкатил эти данные? Или человека, который сам по собственной воле вручил ключи мошенникам? И по его вине-то деньги и были потеряны. Т. е. кому предъявлять претензии? Цепочка-то, она такая: с одной стороны, вина компании, а с другой стороны, самого пользователя.

Иван Бегтин: Смотрите, цепочка действительно длинная, и там есть и компания, которая допустила потерю, и сотрудник компании, например, который путем несанкционированного доступа. Чаще всего это же не просто утеря где-то, а это вот случай с… Найти на помойке или где-то на улице набор капч – это одно. А чаще сотрудники просто сливают это и продают. Потом есть огромная цепочка перепродавцов, переупаковщиков этих данных. По-хорошему, виноваты среди них все. Но пользователь – нельзя сказать, что он виноват. Пользователь виноват только в собственной неграмотности. А с неграмотностью надо бороться и надо действительно осуществлять постоянное просвещение граждан в том, как избегать подобного мошенничества.

Александр Денисов: Я вот представляю беседу в суде. Вот приходит адвокат, допустим, от банка, и вот это разбирается. И вот он спрашивает: «А как у вас украли деньги?» – «Ну, вот я им назвал последние цифры». Адвокат говорит: «Вы слышали? Все, вопросы к кому?» И на этом дело закрывается.

Ольга Арсланова: Да.

Александр Денисов: И никакого ущерба. И на этом все расходятся. Я уверен, Иван.

Ольга Арсланова: Из филантропических соображений назвал.

Александр Денисов: Да, так это и будет, потому что…

Ольга Арсланова: Нет, вопрос в другом. Всегда банк может свою ответственность снять с себя и сказать, что это персональная ответственность сотрудника. Ну, возможно, его плохо проверили. Но пробовал же не банк, пробовал какой-то сотрудник. Который, может быть, уже в этом банке давно и не работает. Все, банк не при делах.

Иван Бегтин: Нет-нет, так не получится. Так точно не получается. Смотрите, у банков, например, если мы говорим про них, есть разные формы аккредитации, аттестации. Например, для того, чтобы осуществлять онлайн-платежи, они проходят сертификацию PCI DSS. Т. е. это некоторая обязательная процедура, которая еще может повторяться на предмет соответствия. То же самое должно быть и применительно к персональным данным. Наши законодатели, к сожалению, пока еще не пришли к той мысли, что необходимо регулярно проверять те организации, которые оперируют наиболее значимыми данными, на предмет их политик. Надо не штрафовать, а надо регулярно проводить аудит, и соответственно с этим аудитом чтобы компании исправляли те проблемы, которые у них выявлены. И соответственно подвергать обязательному аудиту, так же как бухгалтерский аудит есть, так же должен быть аудит работы с…

Ольга Арсланова: Но в такой истории, о которой говорил Саша, когда человек сам назвал свой код, – у него будет возможность все-таки вернуть деньги? Если будут приняты эти штрафы, т. е. понятно будет, что ему компенсируют его потери.

Иван Бегтин: Я боюсь, что возвращение ему денег зависит в меньшей степени, например, от банка и в большей степени от неработоспособности наших правоохранительных органов. Потому что на сегодняшний день на самом деле очень плохо происходят регистрации киберпреступлений. И больше того, расследований… вот очень бы хотелось увидеть наконец живую статистику, как это происходит. Там по-хорошему, если у человека выманили вот эти самые цифры, это мошенничество, разумеется. Ему же представились, недостоверные предоставив сведения о себе, представившись некоторой службой поддержки от службы безопасности. Поэтому, конечно, в общем, если резюмировать, то деньги, скорее всего, человек не вернет, если его обманут. Но причина здесь не только и не столько в самих, например, банках, сколько в правоохранительной системе и неграмотности, которую необходимо преодолевать.

Александр Денисов: Спасибо, Иван. Спасибо.

Ольга Арсланова: Спасибо большое, Иван. Сейчас к нам присоединяется президент консорциума «ИнфоРус», специалист по кибербезопасности Андрей Масалович. Андрей, здравствуйте.

Андрей Масалович: Здравствуйте.

Александр Денисов: Здравствуйте, Андрей. Вот только что Иван Бегтин такую высказал мысль, что нужно контролировать операторов… так, условно, их назовем: компании, которые оперируют большим объемом данных. Мы сходу можем назвать, например, Яндекс. Представляем ситуацию: Роскомнадзор появляется с папочкой и говорит: «Ребята, у вас тут большие объемы данных, надо нам вас проверить». Я представляю, какой визг поднимется. Помните, когда их просили хранить СМС-сообщения, переписку, они говорили, что все, у нас треснут все серверы, вы там просто никогда не расплатитесь за услуги связи. Когда им нужно было самим собрать про нас информацию, у них ничего не трескалось, понимаете. А чуть когда зайдет речь о контроле, они тут же начнут про свободу слова там и прочее, про всяческие ущемления бизнеса говорить. Как, думаете, они отреагируют на вот такое, на такую попытку?

Андрей Масалович: С одной стороны, вы совершенно правы. Визг в таких случаях всегда поднимается, когда бизнесу наступают на самое больное – на кошелек. Но, к счастью, перед глазами есть Европа, где есть так называемые правила GDPR, которые позволяют собирать до 4% оборота. Т. е. там совершенно непомерные штрафы заявлены за нарушение правил обращения с персональными данными. И там действительно на это смотрят и нанимают юристов и наводят порядок. И, соответственно, впускают органы контроля. Т. е. европейский опыт нам здесь как раз может помочь.

Ольга Арсланова: Но Яндекс Яндексом, и Mail.Ru это тоже хорошо. Но самый крупный оператор наших данных – это государственные органы власти. Т. е. такой объем данных, как мы оставляем на сайте Госуслуги.Ру, я думаю, мы не оставляем нигде. Яндекс знает о нас существенно меньше. Вот как быть с утечками данных из органов госвласти? Кто их-то проверит?

Александр Денисов: А там все в порядке, там все под контролем.

Ольга Арсланова: По-разному.

Андрей Масалович: Я не соглашусь, что Яндекс знает меньше. Яндекс шпионит больше и соответственно знает больше, чем… Органы госвласти все-таки собирают то, что мы дали, а Яндекс – он сам. Поэтому тут трудно сравнивать. Смотрите, по госорганам – там, с другой стороны, достаточно четко будет прописана ответственность. Потому что сейчас утечки происходят чаще всего по вине третьих лиц. Т. е. когда данные не просто собрали, а еще кому-то слили: партнерам или коллекторам или каким-нибудь бюро кредитных историй. Т. е. данные начали свое путешествие. В этом плане госструктуры мне не представляются главным источником утечки. Меня гораздо больше пугает, например, и больше, чем Яндекс, и больше, чем госструктуры, меня пугает любое офисное здание, где я оставляю свой скан паспорта вообще непонятно кому и вообще непонятно зачем. Вот там маленькие фирмы, которые по своей инициативе подписывают с нами соглашение о том, что я передаю персональные данные. Для чего делают, непонятно. Вот эти данные утекут точно. И, может быть, с ними как раз порядка станет больше после введения штрафов.

Александр Денисов: Может быть, даже ввести какие-то законо… заняться законодательным регулированием? Потому что невозможно никуда сунуться без вот этой галочки об обработке данных. Куда бы ты ни пришел, они все хотят обрабатывать наши данные. Больница, там, и какая бы ни была…

Ольга Арсланова: Как будто бы наши данные их кормят.

Александр Денисов: Да, да. Т. е. без этого никак вот уже в жизни невозможно.

Андрей Масалович: Абсолютно соглашусь. Хотя могу сказать, что с точки зрения правоохранителя достаточно видеокамеры на входе и просто номер паспорта. Даже без имени, без даты рождения. Т. е. для того, чтобы однозначно идентифицировать субъекта правоохранителям, этого будет достаточно. Все остальное, все остальные данные мы фактически скармливаем, раздаем будущим мошенникам. Вот. Но все-таки 2 обстоятельства мне кажутся хорошими. Первое – штрафы в том виде, как они были сейчас, не просто не пугали никого, а даже не интересовали никого. Заявленные штрафы уже, как минимум, начнут пугать, люди хотя бы начнут задумываться, может быть, порядка станет больше. Это раз. Второе – вот сейчас идет длительное обсуждение, но ни один не назвал одну очень печальную цифру. Даже когда дело доходит до суда, то подтверждается, сам факт утечки персональных данных подтверждается сейчас всего в 7% случаев. Это никуда не годится. Т. е. юристы на стороне… ни юристы, ни правоохранители на стороне пострадавшего не работают. Т. е. 93% случаев кончаются ничем. Ну, утекли данные – ну, и сам виноват.

Александр Денисов: Но, может быть, сейчас юристы начнут работать и в нашу пользу? Раз, например, из крупного банка утекли… Вот недавно была история, как обычно, какие-то тысячи. Юрист находится, коллективный иск, каждому по 5 млн., сколько там миллиардов накипит? И все. И начнут отстаивать интересы клиентов.

Андрей Масалович: Я с вами согласен. Более того, я думаю, что большое число юристов сейчас готово будет работать за процент от будущей компенсации. Поскольку она стала материальной, трехмерной и осязаемой.

Ольга Арсланова: А подождите, только давайте вот разберемся. 5 млн. штрафа в пользу, я не знаю, в госказну? Или это 5 млн., которые компенсируют потери клиентам?

Андрей Масалович: Это именно компенсация морального ущерба. Дело в том, что у нас, кроме перекоса самим 152-м ФЗ, был еще перекос даже не с размером штрафа, а с понятием морального ущерба. Он измеряется 10 тыс. руб., 50 тыс. руб. Вот примеры, которые вы рассматривали до меня, они касались мошенничества, это другая статья. А сам факт, что человек потерял свои данные по чьей-то вине, максимум можно было оценить в 10-50 тыс. руб., и то если повезет. Вот это – ничто. Вот эти цифры надо менять. Чтобы и люди привыкли, что можно требовать деньги себе, и другая сторона привыкала к тому, что такие деньги можно потерять, если плохо обращаешься с данными.

Ольга Арсланова: Спасибо. Андрей Масалович был с нами в прямом эфире. Мы говорили о новых штрафах, которые, возможно, скоро введут за утечку персональных данных россиян.

Александр Денисов: Да. Дальше поговорим про дорожающую технику.

Поможет ли такая мера повысить ответственность компаний и банков?