Экспертное заключение подготовлено по итогам сессии ПМЭФ-2024 «Защита прав граждан в интернете как вопрос экономической безопасности».
Под правами человека обычно подразумевают универсальные, естественные и неотъемлемые права, по умолчанию присущие отдельному человеку по отношению к государству. Эти права лежат в основе международных договоров или признаны в нормах
международного права. В их основе лежит принцип, согласно которому каждый человек с рождения обладает набором неприкосновенных, неотъемлемых прав, которые защищают его как личность от любого произвольного или нечеловеческого обращения, превращающего его в простой предмет чуждого действия.
В России озабоченность проблематикой влияния цифровизации на права человека и роли государства в защите прав человека в цифровом пространстве в последние года проявляется на самом высоком уровне. Можно констатировать, что к настоящему моменту Россия уже в той или иной степени следует многим мировым трендам в области обеспечения прав человека в цифровом пространстве.
Проблема утечки информации и персональных данных становится всё более актуальной с каждым годом.
Количество утечек информации в первом квартале 2024 года уменьшилось с 60 до 57 по сравнению с аналогичным периодом прошлого года, согласно исследованию российского сервиса DLBI, занимающегося разведкой утечек данных и мониторингом даркнета [1]. Однако объём данных, попавших в открытый доступ, увеличился в пять раз: с 11 миллионов телефонных номеров и 23 миллионов электронных адресов в первом квартале 2023 года до 121 миллиона телефонных номеров и 38 миллионов электронных адресов в первом квартале 2024 года. Роскомнадзор расследует инцидент с утечкой 500 млн записей о персональных данных россиян в 2024 г. Об этом заявил заместитель руководителя РКН Милош Вагнер [3].
Один из крупнейших инцидентов произошел с сервисом популярного сервиса для изучения иностранных языков Duolingo, который имеет более 74 миллионов подписчиков по всему миру. Расследование выявило, что утечка 2,6 млн записей данных произошла из-за ошибки в API Duolingo, которая позволила злоумышленникам получить доступ к значительному объему информации из системы сервиса. Представители Duolingo признали факт утечки данных, но отметили, что их ИТ-инфраструктура не была взломана. Более того, существует риск того, что ошибка в API Duolingo не была устранена, и злоумышленники могут продолжать собирать личные данные пользователей.
В конце сентября 2023 года произошла серьезная утечка персональных данных клиентов «МТС Банк». Передача этого документа в суд для дальнейшего рассмотрения также запланирована. Однако наказание будет ограничено только репутационными потерями и небольшим штрафом.
Персональные данные могут стать доступны мошенникам разными путями и быть использованы для различных целей, включая:
— финансовое мошенничество (для получения онлайн-займа в крупных МФО требуется предоставить фотографию паспорта. Однако на некоторых веб-сайтах можно получить заём, указав только фамилию, имя, отчество, дату и место рождения, номер, дату выдачи, код подразделения и адрес регистрации паспорта. Мошенники могут использовать эту информацию для создания поддельного паспорта с данными жертвы и получения более крупного займа);
— спам и фишинг (на почту приходит письмо с официальным сообщением от банка или онлайн-сервиса с просьбой обновить персональные данные или ввести свои логин и пароль на поддельной странице, похожей на оригинальную. Если заполнить, то злоумышленники могут получить доступ к личным данным и использовать их для мошеннических целей. Кроме того, почтовый аккаунт может стать очередным звеном в цепочке рассылки фишинговых писем или быть задействован в атаках с применением социальной инженерии);
— нарушение конфиденциальности (если пользователь заполнит форму, направленную по электронной почте, злоумышленники получат доступ к его личной информации и смогут использовать её в мошеннических целях. Также почтовый аккаунт может стать частью фишинговой рассылки или использоваться в атаках с использованием методов социальной инженерии).
— репутационные угрозы (компании хранят персональные данные своих клиентов, которые оставляют их при использовании сайтов и других электронных сервисов).
В 2024 году большинство компаний осознало, что без надёжной защиты цифровых сервисов невозможно успешно конкурировать на рынке. Цифровые технологии делают бизнес более оперативным и конкурентоспособным, но требуют определённых затрат и навыков. Специалистов в этой области немного, и они часто работают на производителей средств защиты или в интеграторах. Следует отметить, что рынок сосредоточился на предоставлении услуг по защите корпоративных систем и облачных продуктов с помощью коммерческих центров реагирования на кибератаки (SOC). Для компаний, которые могут позволить себе услуги специалистов и обслуживание собственного оборудования, приоритетом становится комплексный подход к защите, быстрое обнаружение угроз и их устранение.
Важно отметить, что специалисты, работавшие с иностранными производителями, теперь трудятся в российских компаниях, что повышает качество работы отечественных производителей средств защиты и приближает их к международным стандартам.
Ключевые тенденции российского рынка информационной безопасности в России на сегодняшний день включают:
а) увеличение спроса на облачные решения и услуги;
б) активное использование искусственного интеллекта и машинного обучения для обнаружения и предотвращения кибератак;
в) развитие технологий для мониторинга и анализа киберугроз в режиме реального времени;
г) усиление мер по защите персональных данных в соответствии с законодательством.
При анализе наиболее громких утечек персональных данных за 2023 год, была выявлена одна общая тенденция, которая, как представляется, отражает одну из важнейших проблем в данной сфере, а именно размеры штрафов, несоразмерные последствиям нарушения прав граждан. На сегодняшний день на рассмотрении находится законопроект № 502104-8 [2] о внесении изменений в КоАП РФ об увеличении штрафов, предлагается увеличить штрафы от 150 000 до 300 000 рублей. Также размер штрафа, предусмотренный в законопроекте 502104-8, зависит от количественных показателей, указан в данной таблице (данная таблица составлена автором на основе текста Законопроекта № 502104-8):
|
Правонарушение |
Ответственность |
| Утечка персональных данных от 1 тыс. до 10 тыс. субъектов персональных данных, или от 10 тыс. до 100 тыс. уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц («идентификаторов») | Административный штраф в размере от 3 млн. до 5 млн. руб. |
| Утечка персональных данных от 10 тыс. до 100 тыс. субъектов персональных данных, или от 100 тыс. до 1 млн. идентификаторов | Административный штраф в размере от 5 млн. до 10 млн. руб. |
| Утечка персональных данных более 100 тыс. субъектов персональных данных, или более 1 млн. идентификаторов | Административный штраф в размере от 10 млн. до 15 млн. руб. |
| Повторное нарушение в рамках вышеприведенных составов правонарушений | Оборотный штраф в размере от 1/10 до 3% совокупного размера выручки, но не менее 15 млн. и не более 500 млн. руб. |
В случае принятия закона в данной редакции предполагается, что это будет способствовать совершенствованию системы защиты информации у компаний.
В России последние глобальные тренды и вызовы в сфере защиты персональных данных включают следующие.
1. Общие правила защиты данных (GDPR) были внедрены в России с принятием Федерального закона «О персональных данных».
2. Российские органы власти и регулирующие организации, такие как Роскомнадзор, продолжают ужесточать нормативные требования в области защиты персональных данных, включая повышение штрафов и внедрение новых требований к организациям.
3. Пользователи становятся всё более осведомлёнными о своих правах на защиту данных, ожидая прозрачности, контроля и согласия от компаний.
4. Развитие киберугроз и кибератак создаёт новые вызовы для защиты персональных данных, требуя применения современных технологий и методов безопасности.
5. В секторах финансовых услуг и здравоохранения особое внимание уделяется строгим требованиям к безопасности и конфиденциальности данных клиентов и пациентов.
Учитывая эти тренды и вызовы, организации в России должны обратить особое внимание на соблюдение нормативных требований, обеспечение безопасности данных и повышение осведомленности пользователей о их правах на защиту персональных данных.
Рекомендации для органов государственной и муниципальной власти:
1. Важно обеспечить международно-правовой универсальный диалог между цифровыми платформами и международными организациями для реализации концепций защиты и использования персональных данных. Это возможно реализовать на уровне международной конференции либо иной международной площадки.
2. Урегулировать механизм уведомления граждан со стороны органов государственной и муниципальной власти об утечке их персональных граждан. Возможно создать общедоступный сервис.
3. Рассмотреть вопрос о возможном страховании ущерба граждан в связи с утечкой персональных данных.
4. Повысить уровень взаимодействия между государственными органами и представителями бизнес-сообщества по решению возникающих вопросов и трудностей в данной сфере, активное участие органов государственной власти в диалоге и своевременном реагировании на поступающие запросы и предложения от представителей бизнеса.
Список источников
1. Статистика сервиса DLBI по утечкам информации и персональных данных
https://cisoclub.ru/dlbi-rost-utechek-zamedlilsja 12.08.2024
2. Законопроект № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части усиления ответственности за нарушение порядка обработки персональных данных)»
https://sozd.duma.gov.ru/bill/502104-8 12.08.2024
3. https://tass.ru/obschestvo/20065237?utm_source=yxnews&utm_medium=desktop 12.08.2024
Экспертные аналитические заключения по итогам сессий деловой программы Форума и любые рекомендации, предоставленные экспертами и опубликованные на сайте Фонда Росконгресс являются выражением мнения данных специалистов, основанном, среди прочего, на толковании ими действующего законодательства, по поводу которого дается заключение. Указанная точка зрения может не совпадать с точкой зрения руководства и/или специалистов Фонда Росконгресс, представителей налоговых, судебных, иных контролирующих органов, а равно и с мнением третьих лиц, включая иных специалистов. Фонд Росконгресс не несет ответственности за недостоверность публикуемых данных и любые возможные убытки, понесенные лицами в результате применения публикуемых заключений и следования таким рекомендациям.
