Как можно оценить объем утечек, которые были в 23-м году? Какова динамика? Есть ли изменения за последние несколько месяцев?
Если смотреть случаи, по которым мы работаем, то динамика выглядит следующим образом: в 21-м году было пять инцидентов, в 22-м - 140, сейчас за полгода - 75. Если сравнивать 22-й и 23-й, то темпы сопоставимые. По объему это порядка 600 млн строк в прошлом году, сейчас уже 230 млн строк. Если сравнивать 21 и 22 год - увеличилось в десятки раз.
Стало больше атаковать? Стали хуже защищаться? В чем причины такого роста?
Мы это четко увязываем с началом специальной военной операции. По времени эти утечки совпали и с блокировкой в России ряда социальных сетей, в том числе тех сетей, владельца которых суд признал экстремистской организацией. Спецслужбы, получавшие "онлайн" цифровые портреты наших граждан от этих соцсетей, лишились доступа к информации, в которой они заинтересованы. В этих условиях просто нельзя не заметить след зарубежных служб, скорее всего, приближенных к тем, кто умеет взламывать и похищать данные. Ну и потом - вы как российская организация защищали данные, обеспечивали безопасность, но вы не были объектом такого повышенного внимания со стороны тех людей, которые умеют взламывать системы. С марта прошлого года вы таким объектом стали. С их точки зрения ситуация поменялась радикально, а с вашей - вроде как нет. Вот и результат.
Но в результате бизнес оказывается виноват. Даже очень небольшие компании, у которых в принципе зачастую нет специалистов по информационной безопасности, там весь штат 5-7 человек, какой-нибудь интернет-магазин. И они внезапно для себя оказались под ударом с одной стороны, и под ответственностью - с другой.
Административная ответственность должна быть для тех, кто не уберег данные, уголовная для тех, кто своровал и дальше их продает. Третья сторона - те, кто незаконно использует такие данные, обогащает свои базы данных любой ценой, должна быть ответственность серьезная и для них. Спрос ведь рождает предложение. Но если говорить про компании, особенно небольшие, то пришло уже время понять, что персональные данные, которые они накапливают, - это токсичный материал. И если их украдут, то ты за это понесешь ответственность. Точно так же, как сложное химическое производство: если эти химикаты у тебя утекли и нанесли ущерб окружающей среде или, не дай бог, людям, ты будешь нести ответственность вне зависимости от того, сколько у тебя человек - 2 работают или 10, или 20 тысяч. Чем быстрее компания прекратит обработку персональных данных, уничтожит их, достигнув цели обработки, тем меньше она будет уязвима.
"Есть принципы обработки персональных данных, которые в законе прописаны. Если ты можешь достичь цели, не собирая персональные данные, то не собирай. Не требуй все обязательно. Попроси один способ связи с клиентом, не требуй все его контактные данные. Если ты уже собрал, оказал услугу и понимаешь, что клиент не вернется - удали эти данные. Зачем ты у себя их хранишь?", - говорит Милош Вагнер.