В своём законопроекте Минцифры обяжет компании выплачивать штрафы за утечки данных. Если скомпрометированной оказалась информация более чем 10 тысяч человек, штраф будет оборотным.
Оборотный вариант штрафов для бизнеса при утечках личных данных граждан обсуждает сейчас рабочая группа Минцифры. Ведомство разрабатывает соответствующий проект закона, пишет РБК со ссылкой на свой источник.
Информация о возможных штрафах для компаний появилась ещё в середине лета. Тогда планировалось, что за первый случай утечки придётся заплатить фиксированный штраф, размер которого будет зависеть от объёма попавших в открытый доступ данных. При дальнейших нарушениях штраф будет оборотным. Его размер не сообщается, но в мае «Коммерсантъ» писал, что согласно планам Минцифры нарушителей оштрафуют на 1% от годового оборота, а при попытке скрыть инцидент — до 3%.
Теперь ведомство хочет назначать оборотный штраф даже за первую утечку, если в общий доступ попали данные более 10 тысяч человек. Снизить размер штрафа «вплоть до фиксированного значения в несколько миллионов» помогут действия самой компании, которая выявит утечку, публично признает её, проведёт собственное расследование и поможет провести расследование органам, при этом, не нарушив требований информационной безопасности.
Собранные со штрафов средства направят в специальный фонд, из которого станут выплачивать компенсации пострадавшим от утечек. Минцифры планирует создать для бизнеса механизм, который «не позволит откупиться от утечки». Обсуждалось даже введение уголовной ответственности за компрометацию личных данных, но от такой идеи отказались. Сейчас министерство «ищет компромисс между бизнесом и отраслью», а готовый законопроект представит в сентябре.
Между тем, об утечках личных данных пользователей накануне сообщили онлайн-кинотеатр «Старт» и российский оператор экспресс-доставки документов и грузов СДЭК. База сервиса доставки содержит около 120 тысяч строк, сообщила компания по мониторингу и разведке даркнета DLBI в своём Telegram-канале.
Среди скомпрометированных данных пользователей: имена, фамилии, адреса электронной почты, хешированные пароли, телефоны, даты рождения, а также даты создания и обновления профилей. Компания сталкивалась с утечками и до этого. В феврале 2022 года в открытом доступе оказалась её база из 1,2 млрд строк, а в июле — из 280 млн строк.
СДЭК подтверждает происшествие: «Мы изучаем базу данных, выложенных в сеть, и выясняем обстоятельства случившегося. Данные в базе похожи на базу клиентов CDEK.Shopping и «СДЭК.Маркет». Уже известно, что в базу не попали номера документов, удостоверяющих личность, и данные банковских карт клиентов. Мы делаем всё, чтобы предотвратить распространение утечки».
Также о «слитых» в сеть данных пользователей онлайн-кинотеатра «Старт» сообщили специалисты Data Leakage & Breach Intelligence. База объёмом 72 Гб содержит 44 миллиона записей с именами, фамилиями, адресами электронной почты (их почти 7,5 миллионов), хешированные пароли, IP-адреса, данные о странах (24,6 млн пользователей — из России, 2,3 млн — из Казахстана, 2,1 млн — из Китая, 1,7 млн — из Украины), даты начала и окончания подписки, а также последнего входа.
Представители сервиса заявляют, что «база не представляет собой большого интереса для злоумышленников»: «Информация в базе не является полностью актуальной, данные в ней за 2021 год. Самое существенное, что там есть, — e-mail или телефон, с которого пользователь мог подключаться. В базе нет паролей в открытом виде, истории просмотров и главное — нет и не может быть данных банковских карт и другой финансовой информации».
Несмотря на количество хищений личной информации граждан, российские власти собираются создать единую государственную систему проверки данных абонентов. Базу обяжут вести операторов мобильной связи, а содержаться в ней будут паспортные данные и номера телефонов, пишут «Известия».
Доступом к базе будут обладать банки, операторы платёжных систем и «другие организации» для проверки информации о гражданах. Закон о единой информационной системе проверки сведений об абонентах (ЕИС ПСА) прошел первое чтение в Госдуме ещё в 2019 году, его окончательное принятие планируется осенью этого года.
С помощью нового закона депутаты рассчитывают бороться с мошенниками, которые используют незарегистрированные сим-карты при совершении банковских сделок или получении кредитов. Однако мобильных операторов беспокоит вопрос дополнительных затрат на содержание инфраструктуры хранения информации.
Игорь Прусаков
Фото: Markus Spiske (pexels.com)
