HFLabs опросила представителей 172 российских компаний, чтобы понять, как бизнес реагирует на произошедшие громкие утечки и планирует ли менять подходы к работе с персональными данными. Оказалось, что несмотря на громкие инциденты, только 50% российских компаний планируют увеличить бюджет на защиту персональных данных. При этом больше половины респондентов не уверены в том, что личные сведения их клиентов находятся в безопасности.
Статистика утечек
Число инцидентов, связанных с разглашением персональных данных в России, выросло в первом полугодии 2022 года в восемь раз, по сравнению с аналогичным периодом прошлого года. Так, по данным телеграмм-канала «Утечки баз данных» в 2022 году в этот период произошли 33 «слива» персональных данных россиян – в открытом доступе оказались 167 млн строк с личными сведениями клиентов разных организаций. В 2021 году в период с января по июль – семь утечек на 21 млн строк. Интересно, что в 2022 году значительно выросло количество утечек с ФИО, телефонами и адресами электронной почты россиян. А вот количество обнародованных баз данных с контактами из мессенджеров, хешами паролей, логинами и IP-адресами, напротив, сократилось.
Опрос HFLabs показал, что 53% считают, что в их компании «утечки вероятны», а еще 9% сообщили, что они уже происходили. И только 37% респондентов уверены, что в их организации утечки данных клиентов не произойдут. Только 5,2% компаний из опрошенных HFLabs зафиксировали значительное количество обращений от клиентов после крупных утечек данных. Еще 15% респондентов сообщили о единичных потребителях, которые были обеспокоены сохранностью личных данных. План действий на случай утечек имеют 10% компаний. Еще 11% понимают его необходимость, но плана у них еще нет.
«Информация имеет свойство утекать, – предупреждает сооснователь и генеральный директор HFLabs Дмитрий Журавлев. – Любые переданные клиентом данные о себе тоже рано или поздно окажутся в открытом доступе. Это новая реальность. Поэтому у граждан должна быть возможность получать товары и услуги, оставаясь при этом полностью анонимными. К примеру, чтобы доставлять еду, компании не нужно знать имя и телефон человека – связаться с ним курьер может через колл-центр или любой другой суррогатный идентификатор. Фактически бизнес может существовать без сбора такого количества персональных данных. И, конечно, сами люди должны соблюдать цифровую гигиену и следить за тем, где и какую информацию о себе они оставляют».
Ужесточение законодательства
С 1 сентября вступили в действие изменения в закон №152-ФЗ «О защите персональных данных граждан РФ», которые обязывают компании реагировать на обнаруженные утечки информации и предоставлять сведения о внутреннем расследовании в НКЦКИ (ГосСОПКА). Однако в поправках пока нет наказания за несоблюдения указанных, достаточно жестких сроков предоставления результатов расследования. Поэтому пока компании заняты только изменениями внутренних документов, регламентирующих обработку персональных данных. Однако после первых серьезных инцидентов и наказаний со стороны государства, возможно, ситуация измениться.
