Privacy Day 2023: Прошлый год — год утечек. Что дальше?

По данным «Сетевых свобод», 2022 год стал рекордным по количеству и объёму утечек. 27 января на конференции Privacy Day 2023 собрались эксперты из разных стран евразийского региона и обсудили, как в их государствах справлялись с утечками в минувшем году. Слушатели могли узнать о том, как в Узбекистане глава местного Роскомнадзора лишился поста после блокировки соцсетей, что в Армении называют «патриотическим хакингом» и много ли компаний с выскоким уровнем кибербезопасности знают в Group-IB. Подробнее обо всём этом и многом другом читайте в нашем материале.

1. Панельная дискуссия «Утечки данных как трансграничная проблема. Опыт стран евразийского региона»

Михаил Емельянников, Россия: «Теперь у нас есть физическая и цифровая личности, что делать со второй, никто не знает» 

«Я давний и последовательный сторонник драконовских штрафов за утечки, потому что никаких способов заставить бизнес защищать наши с вами данные я не вижу», — заявил управляющий партнёр консалтинговой компании «Емельянов, Попова и партнёры» Михаил Емельянников.

Но хотя штрафы за утечки в России растут, по мнению юриста, панацеей это назвать нельзя, потому что увеличение штрафов не заставило компании относиться к персональным данным бережнее. Эксперт видит в этом ряд следующих причин-проблем.

Первая проблема — закон не дает чёткого определения утечек. Утечками называют как умышленную передачу персональных данных (ПД), так и случайную, какой является, например, отправка письма не тому пользователю. 

Вторая проблема заключается в том, что и закон, и Роскомнадзор считает вред от утечек незначительным вредом. И операторы данных пользуются этим, прикрываясь при утечках тезисами о том, что слитые базы якобы неактуальны, скомпилированы, данные в них сфабрикованы или не содержат чувствительной информации и т.д. 

Третья проблема связана с установлением владельца базы. Так, в Минцифры назвали взлом Госуслуг компиляцией, а «Почта России» заявила, что данные в утёкшей базе неактуальны.

«Я заглядывал в базу <Госуслуг>. Там реальные данные. <...>  “Почта России” говорит, что данные неактуальны. Что значит неактуальны? Это значит, что пользователи поменяли телефоны и адреса электронной почты?» — задаётс вопросом Емельянников. 

Четвёртый пункт — как ни странно, проблема смягчения ответственности, дискуссия о котором идёт параллельно с дискуссией об ужесточении наказания. 

Пятая проблема — препоны для бизнесы, например, возможное дробление компаний в целях уменьшения выплачиваемых штрафов. Крупный бизнес сопротивляется как введению оборотных штрафов, так и уведомлению об утечках. 

Наконец, шестое — проблема правоприменения. В законодательстве есть понятия про повторные и длящиеся нарушения. При повторных штрафы раз от раза возрастают. Однако утечки суды трактуют как длящееся правонарушение и дают одинаковые штрафы, мы видим это на примере «Яндекса». В то же время Twitter и Facebook получают штрафы всё больше и больше, хотя как раз у них никаких новых нарушений не происходит.

Штрафы за утечки будут, но надо определиться, с чем боремся в принципе, заключил эксперт:

«Мы не понимаем изменившейся ситуации. Теперь у нас есть физическая и цифровая личности. Что делать со второй, никто не знает. А новые технологии, такие как распознавание лиц, приводят к тому, что мы вообще находимся под постоянным наблюдением. Это другой уровень жизни. Надо менять отношение к ПД, приватности и ответственности тех, кому мы вольно или невольно доверяем свои данные».

Руслан Дайырбеков, Казахстан: «Со стороны защита ПД может выглядеть давлением на бизнес» 

В Казахстане данные утекают тоже, и в настоящее время в стране не урегулированы вопросы своевременного реагирования на утечки, рассказал основатель Eurasian Digital Foundation (DRCQ) Руслан Дайырбеков. Термина утечки, как и в России, в законодательстве страны не существует.

В прошлом году депутаты предложили норму о необходимости уведомления уполномоченного органа об утечках. Норма прошла первое чтение, но после встретила большое сопротивление бизнеса, рассказал Дайырбеков. В этом году состоялось новое заседание и анализ предлагаемой нормы. DRCQ поддерживает её и рекомендуют уведомить всех, чьи данные утекли:

«Очень важно иметь такой инструмент, как уведомление пользователей». 

Со стороны это, возможно, выглядит давлением на бизнес, сетует эксперт. Но хорошо, что гражданский сектор участвует в законотворчестве. 

Везде происходит одно и то же: бизнес принимает в штыки то, что может улучшить ситуацию, резюмировал модератор панели глава юридической практики «Роскомсвободы» Саркис Дарбинян.

Мадина Турсунова, Узбекистан: «В отсутствие понятных законодательных шагов ожидать прозрачности от бизнеса тоже не приходится»

В Узбекистане обязали операторов хранить данные пользователей на территории страны.

«Самыми очевидными нарушителями стали соцсети, конечно», — говорит юрист юридической клиники при Центре развития современной журналистики Мадина Турсунова.

Местный регулятор — Узкомназорат — заблокировал многие соцсети. Общественность приняла всё прохладно, но в ноябре блокировка Facebook, Instagram, Telegram вызвала бурную реакцию, в т.ч. со стороны бизнеса, который занимается маркетингом и электронной коммерцией. 

«В течение двух часов соцсети разблокировали, глава регулятора лишился своей должности», — рассказала Турсунова. 

Примечательно, что ранее блокировка «ВКонтакте», «Одноклассников» и Twitter такой реакции не вызвали. А TikTok и вовсе — самый злостный нарушитель, по мнению Узкомназората. «Хотя нет данных, что остальные соцсети перестали нарушать законодательство. К слову, с точки зрения законодательства цель — регулирование трансграничной передачи. У локальных операторов нет понятия утечки, процедур по реагированию, уведомления лиц», — говорит Турсунова. 

Интересный кейс случился в 2019 году, когда ввели платную регистрацию IMEI всех устройств. Выяснилось, что многие не могут зарегистрировать их, поскольку ранее их данные утекли, и те, кто занимаются серым импортом, зарегистрировали нелегальные устройства на их паспортные данные. 

Это вызвало резонанс, были выявлены две преступные группы, некоторые лица получили уголовное наказание. Однако ущерб никому не возместили. 

В 2023 году вступят в силу особые требования по охране генетических данных. Как они будут контролироваться, непонятно.

«Главным сборщиком данных является государство.Частных операторов не так много, понятных правил для них нет. В отсутствие понятных законодательных шагов ожидать прозрачности для бизнеса тоже не приходится», — заключила Турсунова. 

Самвел Мартиросян, Армения: «Одна из основных проблем — патриотический хакинг»

Армения — одна из немногих стран, которая, не являясь членом Совета Европы, подписала его Конвенцию о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), предварил выступления спикера Дарбинян.

С 2015 в стране работает Агентство по защите ПД. Де-факто проблем с ПД много, рассказал соучредитель Cyberhub Самвел Мартиросян. Одна из основных — т.н. патриотический хакинг, когда азербайджанские хакеры и ряд турецких группировок таргетируют армянские базы данных на фоне конфликта в Нагорном Карабахе. Кроме того, большие сливы ПД были во время ковида. 

«Но государство тоже очень способствовало сливам, потому что данными владело огромное количество чиновников. Большое количество людей, в том числе, например, врачи в больницах, пересылало это всё через обычные почты». 

И отсюда вытекает вторая проблема — государство не следит за тем, кто владеет данными.

«Хотя на правовом уровне всё решено, на уровне реализации — нет. У нас нет культуры уведомлений. Максимальный штраф за утечки — 1200 долл. Но с 2015 года никого не штрафовали. Компании, наверно, тихо высчитывают, что легче оплатить штраф, нежели держать в штате высокооплачиваемых специалистов по кибербезопасности», — размышляет Мартиросян.

Интеграция в российскую экономику у Армении большая, хотя это несколько изменилось после начала «спецоперации», до которой одних только сезонных мигрантов насчитывалось несколько сотен тысяч. Кроме того, 80% армянских пользователей пользуются продуктами Mail.ru — армянское общество лояльно к российским сервисам, говорит эксперт. 

«Самое плохое в истории с утечками данных — это то, что общество не в курсе о сливах», — заключил Мартиросян. 

Клим Омельченко, Кыргызстан: «Пока утечки неизбежны, приемлемый путь — обучение защите граждан»

Закон о защите персданных был принят в апреле 2008 года. На тот момент он отвечал всем требованиям безопасности, в том числе в контексте 108 Конвенции СЕ, считает заведующий отделом законодательной экспертизы Госагентства КР по защите персональных данных Клим Омельченко. Сейчас появились новые требования, а компании вместе с тем поняли, что информация — новая нефть:

«В век информации, не владея информацией, невозможно быть конкурентоспособными». 

В агентстве было два сотрудника и директор, когда в «Яндексе» случилась утечка. Компания сказала, что не было данных граждан Кыргызстана, многие из которых теоретически могли работать в службе доставки.. 

«Являясь маленькой страной, Кыргызстан не может воздействовать на ИТ-гигантов. Поэтому страна выбрала путь обучения граждан. Если утечки неизбежны, то надо хотя бы образовывать людей. Если предупреждён, значит защищён». 

Госагентство создало учебный центр и разработало курс повышения навыков в области кибербезопасности, как для бизнеса, так и для обычных людей. Защита от утечек — дело повышения осведомлённости граждан, считает Омельченко. 

Сейчас государство также ведёт работу над концепцией закона, который будет соблюдать баланс между цифровизацией и конфиденциальностью. 

2. Утечки данных как проблема для бизнеса

Валерий Зубанов: «Если думаешь, что защищён, расслабляешься и оказываешься в зоне риска»

Коммерческий директор «Лаборатории Касперского» в Центральной Азии и Монголии (Казахстан) рассказал о новых вызовах кибербезопасности. По его словам, организации со всего мира (в первую очередь промышленные и государственные) обращаются в компанию со следующими запросами:

• шифровальщики (33% обращений);

• подозрительные файлы (19%);

• подозрительная сетевая активность (16%);

• утечки (6%).

Для попадания в инфраструктуру злоумышленники используют bruteforce (31%), уязвимости в ПО (31%) и почты (23%). 

Примечательно, что в 44% случаев ПО было легитимным.

Эксперт представил следующие прогнозы на будущее:

• тренды на изоляцию (разница в законодательных базах, фрагментация рынка);

• использование смартфонов вместо бумаги;

• нивелирование человеческого фактора;

• конфиденциальность метавселенной.

В компании также прогнозируют увеличение узконаправленных атак на приложения для ментального здоровья, образовательные платформы. 

Самое опасное — расслабиться, уверен эксперт.

«Если думаешь, что защищён, расслабляешься и оказываешься в зоне риска, — заключил он. 

Роман Нестер: «Чем меньше компания, тем ей дороже соответствовать требованиям регулятора»

Бизнесмен и преподаватель НИУ ВШЭ Роман Нестер считает, что скандал вокруг Cambridge Analytica сказался на обращении данных в интернете и отношению людей к этому. Так, 42% британских пользователей стали недовольны тем, как компании используют их данные. Для 81% риски не перевешивают плюсы от использования продуктов. 48% пользователей прекратили покупки у тех, кто не защищает их приватность. 

Но чем меньше компания, тем ей дороже соответствовать требованиям регулятора, отмечает эксперт. Это приведёт к тому, что сильные организации станут сильнее, а слабые исчезнут. 

Помимо регуляции есть ещё саморегуляция. Один из примеров — самоограничения и появления новых продуктов в области прайваси. Всё это приводит к тому, что изменились технологии в сфере маркетинга. Так, Criteo подсчитала, что, когда перестала видеть в таргетинге 40% аудитории, она стала терять 120 млн долл. в год.

Поэтому, по мнению эксперта, скоро будут актуальны следующие тренды: 

• возврат к контекстуальным баннерам, которые подстраиваются не под пользователя, а под текст;

• пейволлы (за таргетинг придётся платить);

• новые компетенции у специалистов.

Артём Артёмов: «За 15 лет я видел только одну компанию с высоким уровнем кибербезопасности»

Эксперт по цифровой криминалистике и расследованию компьютерных инцидентов (Нидерланды), Head of DFIR Lab Group-IB Europe Артём Артёмов рассказал о том, кто крадёт данные в современном мире.

Во-первых, это хакерские группировки.

«Любая уважающая себя страна имеет киберармию», — говорит Артёмов.

БОльшей частью они занимаются шпионажем. Такие группировки работают везде и защититься от них сложно. Доходит до того, что в одну группировку может внедриться другая.

Во-вторых, данные крадут шифровальщики. Они просят выкупы за расшифровку и непубликацию данных. В России не получили широкого распространения, потому что штрафы за публикацию данных невелики. А вот в Европе, где по GDPR компании за утечки штрафуют сильно, шифровальщики орудуют сильнее. 

«Штрафы нужны, но в свою очередь они приводят к процветанию бизнеса шифровальщиков. Если компания боится публикации данные, ей легче сегодня заплатить злоумышленникам, чем завтра — государству».

В-третьих, имеют место сливы сотрудниками самих компаний. 

Одно из первых мест, которые взламывают злоумышленники, — почта. Второе тонкое место — общедоступные файлы. Наконец, третье — мессенджеры. 

Для защиты Артёмов рекомендует:

• серьёзно относиться к паролям (один аккаунт — один пароль; использовать менеджеры паролей);

• разграничивать прав доступа для сотрудников компаний;

«Если кто-то хочет украсть у вас данные, он это сделает. За 15 лет работы я видел только одну компанию, у которой кибербезопасность настроена на высоком уровне, но сотрудникам там несладко: они используют только корпоративный мессенджер, внутреннюю систему организации и так далее». 

Сергей Сайган: «Важно проводить учения о том, что делать в случае утечек»

Эксперт в области privacy&tech-регулирования, руководитель практики Technology & Product консалтинговой компании Comply Сергей Сайганов рассказал о ситуации с законодательной защитой ПД в России в целом.

Так, до 2022 года:

- в законе не было термина «течка ПД». Роскомнадзор пользовался формулировкой «обработка ПД, не предусмотренная законом»;

- не было (да и сейчас, в общем, тоже) прямой ответственности для бизнеса.

- Роскомнадзор реагировал на утечки скорее случайно, чем систематически;

- бизнес предпочитал отрицать утечки, и это было самой выгодной стратегией.

2022 год — поистине год утечек персональных данных (в т.ч. из-за «спецоперации»). Государство не оставило это без внимания, и 1 сентября в закон о ПД вступили поправки об утечках (компьютерных инцидентах»). Теперь 

• закон обязывает операторов ПД незамедлительно (в течение 24 часов) сообщать об этом государству и в в течение 72 часов (в т.ч. в праздники и выходные) сообщать о результатах внутреннего расследования;

• РКН стал вести проактивную работу: мониторить каналы об утечках и приходить к компаниям с проверкой. 

«Роскомнадзор активизировался и больше не занимает выжидающую позицию, а идёт в атаку», — говорит Сайганов.

По его мнению, в 2023 году:

• оборотные штрафы могут заработать и будут составлять от 5 млн руб. до 500 млн руб. «Это будут не единственные штрафы, могут появиться дополнительные штрафы за неуведомление Роскомнадзора»;

• мораторий на проверки для ИТ-компаний, скорее всего, снимут.

Кроме того, РКН проводит закупки на системы мониторинга медиа.

Что делать?

• максимизировать усилия по реальной безопасности данных;

• заняться комплаенсом.

«Важно провести учения о том, кто и за что отвечает в случае утечек, как не допустить утечек и что делать, если она всё-таки произошла», — заключил эксперт и добавил, что решить проблему утечек может «только тотальная образованность».

К слову, для того чтобы повысить свой уровень киберграмотности, прокачивайтесь на нашем сервисе «Секьюрно».