Информацию о гражданах хранит множество организаций. При этом во многих случаях источником информации выступает человек, многократно оставляющий информацию о себе на различных онлайн-сервисах и площадках или участвующий, например, в промо-кампаниях. По мнению международных экспертов в области информационной безопасности, пользователи давно потеряли контроль над своими данными.
Вместе с тем, одним из главных факторов, которым обусловлена проблема утечек персональных данных, по-прежнему остается чрезвычайно низкий уровень гражданской культуры обращения с персональной информацией. Пользователь предоставляет данные в распоряжение операторов сервисов, как правило, в полной уверенности, что они не окажутся в распоряжении третьих лиц.
С одной стороны, конфиденциальность персональных данных гарантирована государством в виде законодательных требований и контроля их соблюдения, с другой — существует и гражданская ответственность самих операторов за нарушение конфиденциальности предоставляемых им данных. Однако даже такая «двойная» система ответственности часто дает сбой, и на практике наши данные все равно рано или поздно становятся доступными любому в виде очередного выброшенного архива.
По данным исследования Аналитического центра InfoWatch в 2016 году 93% утечек информации в мире были связаны с компрометацией персональных данных и платежной информации. Всего за 2016 год в мире было скомпрометировано более трех миллиардов записей персональных данных — в три раза больше, чем годом ранее.
В июле 2017 года одно из ведущих мировых агентств финансовой информации Dow Jones & Company, которому также принадлежит издание The Wall Street Journal, из-за ошибки в настройках базы данных облачного хранилища опубликовало в открытом доступе данные нескольких миллионов своих клиентов, включая имена, внутренние идентификаторы, адреса, платежные реквизиты и данные банковских карт.
По словам представителей Dow Jones, в хранилище содержится информация о 2,2 миллионах клиентов, однако независимые эксперты считают, что число пострадавших может достигать четырех миллионов. В Dow Jones подтвердили утечку данных. Однако, по мнению аналитиков Dow Jones, попавшие в открытый доступ данные не являются конфиденциальными, поскольку не содержат пароли в открытом виде. Поэтому компания не будет уведомлять своих клиентов об утечке.
Проблема защиты персональных данных имеет несколько аспектов. Первый – технический. Внутри любого документа, базы данных или электронного письма легко выделить фамилию, имя, номер паспорта, банковского счета или кредитной карты. Персональные данные хранятся в виде упорядоченных массивов информации и легко формализуются. Поэтому с учетом современных технологий анализа трафика, технических проблем защиты организаций от утечек фактически не возникает.
Второй – формально-юридический, в рамках которого во многих странах, включая Россию, на законодательном уровне закреплено понятие персональных данных, правила их хранения, обработки и передачи, а также определены сами операторы персональных данных, которые и несут ответственность за соблюдение требований закона в части их защиты.
Казалось бы – нормативно необходимость защиты персональных данных закреплена, ответственные определены, технических препятствий нет, но почему же тогда утечки все-таки происходят?
В защите данных участвуют три стороны – это государство, бизнес и сами субъекты данных – граждане. Государство, по сути, навязывает бремя заботы о защите данных граждан бизнесу, который в реальности не особо заинтересован в этой нагрузке. Ответственность организаций за персональные данные скорее является номинальной. Отсюда и существующее представление о том, что операторам персональных данных достаточно «бумажной» безопасности на уровне принятия регламентов, приказов, наличие которых проверяют регулирующие органы, не более.
Бизнес не видит ценности персональных данных, и, как правило, не ощущает реальной опасности. Если за утечками баз не следует крупный штраф или необходимость выплатить компенсации пострадавшим, то любой «слив» даже очень большого количества персональных данных клиентов или сотрудников для компании не несет серьезной угрозы. Основные риски при утечке данных связаны со штрафными санкциями регуляторов, в то время как суммы таких штрафов смехотворны.
Исключение составляют так называемые «мега-ликвидные» персональные данные — сведения о состоянии счетов, данные о доходах в сочетании с личными сведениями о гражданине, которые могут привести к крупным финансовым потерям. Более-менее о безопасности данных задумываются в отраслях, для которых персональные данные являются бизнес-активом, как страхование и финансовый сектор. Например, база данных клиентов страховой компании, утекшая к конкурентам, приводит к оттоку минимум 10% клиентов. Причем самых платежеспособных. Просто потому, что в типовом страховании очень короткий цикл продаж, а предпочтения клиента очевидны.
Сами пользователи, как правило, тоже не проявляют большой заинтересованности в защите своих данных и не заботятся о них. В силу общей низкой культуры в области информационной безопасности большинство пользователей с легкостью предоставляют свои данные практически по любому требованию, и в случае утечек за редкими исключениями не обращаются в органы судебной власти и не требуют компенсации. До сих пор реальных потерь от утечек данных пользователи практически не ощущают, и сложно представить, что граждане добровольно примут на себя издержки, связанные с защитой персональных данных.
Усилия глобальных компаний и геополитические риски просто не оставляют государствам выбора – они либо заботятся о защите данных своих граждан самостоятельно либо об этом «позаботятся» другие.
Основной механизм, который использует любое государство в процессе защиты пользовательских данных – это введение нормы обязательного опубликования компаниями сообщений об утечках и выплат компенсаций пострадавшим. Сегодня в России операторы данных не обязаны разглашать информацию об их утечке, однако с недавнего времени этот путь имеет шансы укорениться и в нашей стране.
В таком случае по существу, рядом с государственным «кнутом» в виде системы штрафов за нарушения правил обработки персональных данных появляется и «пряник» — система, в которой компаниям становится действительно невыгодно допускать утечки. А значит, появляется и смысл инвестировать в реальную, а не номинальную безопасность.
Такая система позволяет государству замотивировать бизнес на соблюдение социальной ответственности за безопасность персональных данных граждан. Бизнес же сможет рассчитывать на легитимный доступ к агрегированным данным пользователей для удовлетворения своих нужд, например, проведения рекламных и маркетинговых активностей, анализа потребительского поведения.
Как это будет работать на практике, пока неизвестно. По словам генерального директора InfoWatch Алексея Нагорного, каждая утечка — это удар по репутации, и о подобных инцидентах компаниям как правило проще умолчать. «Что касается штрафных санкций, то если они будут небольшими, то некоторым компаниям будет проще умолчать, чем допускать репутационные риски, — отметил Алексей Нагорный. — С другой стороны, пока не понятно, как будет рассчитываться штраф. Это сумма за каждого пострадавшего — либо за неуведомление об утечке в целом, не важно, какого объема она была. Если за каждую запись, то это существенный штраф, компании задумаются не только об уведомлениях, но и об усилении защиты данных. Если нет, то, с высокой долей вероятности, компании, располагающие большими массивами данных, никого не будут уведомлять».
Но такая модель, где государство задает рамки для саморегулирования целой сферы (а обязанность информировать об утечках общественность – не что иное, как саморегулирование), выглядит наиболее многообещающей перед лицом растущей год от года ликвидности персональных данных, стремительно увеличивающихся объемов утечек и все новых способов мошенничества с использованием личной информации граждан.