Кто виноват в утечках персональных данных россиян

Милош Эдуардович, одна из самых горячих тем этого года в IT - это утечки данных. Как можно оценить объем утечек, которые были в 23-м году? Какова динамика? Есть ли изменения за последние несколько месяцев?

Милош Вагнер: Если смотреть случаи, по которым мы работаем, то динамика выглядит следующим образом: в 21-м году было пять инцидентов, в 22-м - 140, сейчас за полгода - 75. Если сравнивать 22-й и 23-й, то темпы сопоставимые. По объему это порядка 600 млн строк в прошлом году, сейчас уже 230 млн строк. Если сравнивать 21 и 22 год - увеличилось в десятки раз.

Стало больше атаковать? Стали хуже защищаться? В чем причины такого роста?

Милош Вагнер: Мы это четко увязываем с началом специальной военной операции. По времени эти утечки совпали и с блокировкой в России ряда социальных сетей, в том числе тех сетей, владельца которых суд признал экстремистской организацией. Спецслужбы, получавшие "онлайн" цифровые портреты наших граждан от этих соцсетей, лишились доступа к информации, в которой они заинтересованы. В этих условиях просто нельзя не заметить след зарубежных служб, скорее всего, приближенных к тем, кто умеет взламывать и похищать данные.

Ну и потом - вы как российская организация защищали данные, обеспечивали безопасность, но вы не были объектом такого повышенного внимания со стороны тех людей, которые умеют взламывать системы. С марта прошлого года вы таким объектом стали. С их точки зрения ситуация поменялась радикально, а с вашей - вроде как нет. Вот и результат.

Но в результате бизнес оказывается виноват. Даже очень небольшие компании, у которых в принципе зачастую нет специалистов по информационной безопасности, там весь штат 5-7 человек, какой-нибудь интернет-магазин. И они внезапно для себя оказались под ударом с одной стороны, и под ответственностью - с другой.

Милош Вагнер: Административная ответственность должна быть для тех, кто не уберег данные, уголовная для тех, кто своровал и дальше их продает. Третья сторона - те, кто незаконно использует такие данные, обогащает свои базы данных любой ценой, должна быть ответственность серьезная и для них. Спрос ведь рождает предложение. Но если говорить про компании, особенно небольшие, то пришло уже время понять, что персональные данные, которые они накапливают, - это токсичный материал. И если их украдут, то ты за это понесешь ответственность. Точно так же, как сложное химическое производство: если эти химикаты у тебя утекли и нанесли ущерб окружающей среде или, не дай бог, людям, ты будешь нести ответственность вне зависимости от того, сколько у тебя человек - 2 работают или 10, или 20 тысяч. Чем быстрее компания прекратит обработку персональных данных, уничтожит их, достигнув цели обработки, тем меньше она будет уязвима.

А какие здесь могут быть пути выхода?

Милош Вагнер: Вы упомянули не очень крупные компании: сфера услуг, интернет-магазины. Есть принципы обработки персональных данных, которые в законе прописаны. Если ты можешь достичь цели, не собирая персональные данные, то не собирай. Если не можешь без них обойтись, собирай меньше: не фамилия, имя, отчество, а только имя или никнейм, не требуй все обязательно. Попроси один способ связи с клиентом, не требуй все его контактные данные. Если ты уже собрал, оказал услугу и понимаешь, что клиент не вернется, удали эти данные. Зачем ты у себя их хранишь? Они попадут в доступ рано или поздно. Мы исходим из того, что не утекут только те данные, которые не собрали. Вот и все.

Могут ли компании отказаться вообще от работы с персональными данными? Они ведь сегодня используют различные внешние сервисы: бухгалтерию, юристов, сервера. Можно ли работать и с данными в такой же логике?

Милош Вагнер: Одна из инициатив, которая обсуждается в рамках комплексного регулирования персональных данных, как мера противодействия утечкам, как раз про это. Предлагается ввести таких доверенных операторов персональных данных, которые могли бы на себя взять обеспечение сохранности и конфиденциальности, которые обеспечили бы подлинную, а не бумажную безопасность персональных данных. Могли бы гарантировать со 100-процентной вероятностью, или близкой к этому, что ничего страшного не произойдет с этими данными. И тогда те самые небольшие компании, компании, в которых есть обязательные требования по кадрово-бухгалтерскому учету, могли бы делегировать обработку и защиту данных крупным операторам.

Общим местом является то, что ответственность зависит от объема утекших данных. Но интернет ничего не забывает. И то, что утекло в Сеть, остается в ней навсегда. И очень часто можно слышать, что продают несколько склеенных ранее утечек, как одну новую. Как вычленять ответственность конкретной компании в ситуации, когда, условно говоря, слили 200 тысяч строк, потом продается 800 тысяч строк?

Милош Вагнер: Абсолютно верно. Это большая аналитическая работа. Приходится исследовать каждую утечку. Мы не можем опираться на сообщения преступников, которые разместили украденную базу и кричат, что из банка крупного утекли все клиенты. А в реальности там будет у них один клиент. То есть вторая цель у преступников, после извлечения выгоды, опорочить российские компании, нанести им репутационный ущерб.

Поскольку тема обеспечения сохранности персональных данных крайне важна, нам предоставлена возможность проводить, по согласованию с органами прокуратуры, проверки в отношении тех компаний, о которых есть предположения, что скомпрометированы данные, изучать их информационные системы.

Эксперты говорят, что в рамках административных дел очень трудно прийти в компанию и убедиться в том, что она продемонстрировала все, что у нее украли.

Милош Вагнер: Есть несколько этапов, несколько уровней погружения в то, что есть у оператора данных. Первый уровень - это то, что в средствах массовой коммуникации мы наблюдаем или на специфических ресурсах, где такие сообщения появляются. Второй уровень - это то, что нам сообщила компания в рамках уведомления об инциденте. Третий уровень - это то, что на наши запросы официальные отвечают в рамках проверки. Четвертый уровень - это, что мы видим в их информационных системах. А дальше включается сотрудник Роскомнадзора, который проводит проверку и решает, не пытается ли компания ввести его в заблуждение, предоставляя ему часть информации, предоставляя ограниченный доступ и т.д.

Ну, это практически работа следователей, дознавателей.

Милош Вагнер: В этом и суть. Поэтому одно из существенных изменений в том кодексе, который сейчас идет вместе с предлагаемыми оборотными штрафами - это представление нам полномочий для административного расследования. Это, конечно, обычное разбирательство в сути произошедшего - поиск доказательств. Новые нормы позволят проводить опросы, исследования, заказывать экспертное мнение и т.д., то есть немного больше полномочий, чем вопрос-ответ. И, значит, более точный результат контрольного мероприятия.

Были ли случаи, когда компании скрывали информацию об утечках, отказывались сотрудничать, пытались заиграть эту историю, говорили, что "это не мы"?

Милош Вагнер: Конечно. Есть и такие, кто пытаются сообщить о том, что это не их данные. Один из последних трендов - это то, что компании говорят: "Это не у нас утекло. Это у нашей организации подрядной, которую мы попросили создать информационную систему или обеспечить поддержку". Но для нас это не имеет значения. Если ты их привлек к своей работе, ответственность лежит на тебе.

Но надо сказать, что в прошлом году закон "О персональных данных" дал операторам больше возможностей для контроля за субподрядчиками. Они могут со своими микропроверками туда прийти и проверить, как он обеспечивает выполнение договоренностей.

Но есть и еще один аспект - компании собирают данные, потому что граждане дают свое согласие на это. И понятно, что зачастую это профанация, когда подсовывают кучу документов, один из них - это самое согласие. И ты подписываешь все подряд, потому что "надо".

Милош Вагнер: Согласие на обработку персональных данных - это одно из тринадцати правовых оснований, когда оператор может обрабатывать данные. Но для оператора это самое дешевое с точки зрения получения, с точки зрения администрирования. Совершенно верно - вам проще в этом безвыходном положении поставить галочку. И оператор счастлив - это же проще, чем сформулировать внятно договор или ограничиться минимальных набором данных, предусмотренных законом. Поэтому проблема как раз в том, что по факту ты не можешь отказаться. Хотя слово "согласие", оно предполагает добровольность, ты не должен находиться под давлением, ты не должен находиться в условиях, когда если не предоставишь, с тобой не заключат договор, не окажут услугу, не выдадут кредит, еще что-то. Вот этот принцип, он, по сути, и нарушается, когда собираются эти согласия. Но доказать это сложно. Вы же уже дали согласие. Значит, это ваше волеизъявление было. Кто может сомневаться теперь в решении дееспособного человека, который распоряжается своими персональными данными, пусть и таким странным образом?

Можно ли упорядочить эту историю?

Милош Вагнер: Мы знаем о создании "системы управления согласиями", которую Минцифры создает на базе Госуслуг. Мы участвуем в их работе, считаем это верным. Это правильный первый шаг к тому, чтобы эту ситуацию стабилизировать. На что мы рассчитываем, когда будет реализовываться этот проект? Что те согласия, которые можно будет предоставить или отозвать с помощью этой системы, они будут справедливы по отношению к человеку. Не будут содержать, например, условия, что эти согласия выдаются на 50 лет. Когда я подписываю согласие на 50 лет, я чувствую, что в меня и мое здоровье оператор верит больше, чем я сам. Или что согласие не будет указанием, что мои данные выдаются 50-ти организациям. О какой информированности тут может идти речь - я не в состоянии просто оценить физически, что эти организации из себя представляют по отдельным наименованиям. То есть мы как раз хотим уйти от того, чтобы компании собирали подряд эти согласия абы какие, лишь бы формально выполнить требование закона, поставив при этом человека в неловкое положение. Когда будем реализовывать с Минцифры этот проект, рассчитываем на то, что проект встанет на сторону человека, а не оператора, которому нужно выудить согласие от человека.

Как быть человеку, если он все же выдал согласия или его данные куда-то утекли, куда обращаться?

Милош Вагнер: Я привел пример, когда согласие делают обязательным условием для того, чтобы получить или не получить услугу. Вот если вы с такой ситуацией сталкиваетесь - ваши права нарушаются. Вы можете обращаться в Роскомнадзор или в наш Центр правовой помощи гражданам в цифровой среде, который вникнет в ситуацию, поймет, чья это зона ответственности - Роскомнадзора, Роспотребнадзора или гражданско-правовая, которая решается через суд. Центр как раз занимается такими ситуациями, когда полномочий одного какого-то конкретного органа не хватает для решения жизненной ситуации человека: когда взяли кредит на человека без ведома, когда микрокредитов набрали, когда задеты его честь и достоинство. Помогает обратившимся Центр абсолютно бесплатно. На сегодня филиалы нашего центра есть в четырех федеральных округах: Центральном, Северо-Западном, Приволжском и Сибирском.

Он востребован?

Милош Вагнер: В прошлом году было 1 700 обращений, в этом - за полгода уже 1 500. То есть количество обращений растет. Наши коллеги подготовили уже порядка 800 обращений, жалоб, требований, претензий к операторам, к госорганам за эти полгода. Они обращаются не только, кстати говоря, в органы исполнительной власти, но и требуют от правоохранительных органов защиты прав человека. Самая трудная часть, которой они занимаются - это защита в суде. Кто сталкивался - понимают, что это история на 3-5 месяцев и больше. Это утомительно, трудозатратно. Человек просто не в состоянии себе позволить заниматься этим систематически, отслеживать все материалы, спорить с крупными операторами, которые на той стороне, с которыми он судится. Поэтому Центр как раз помогает в таких ситуациях. Только в судах порядка 30 дел уже выиграли, сейчас на рассмотрении еще по-моему 50 исков, которые они подготовили.

И еще одна тема, очень горячая, использование иностранных мессенджеров для передачи финансовой информации. Вы можете объяснить, о чем собственно речь? Что нельзя передавать? Чеки за услуги? Ссылки на оплату?

Милош Вагнер: Ключевая мысль этого закона в том, что нельзя ставить в зависимость от желания или воли владельцев иностранных мессенджеров взаимодействие с клиентами, которые, как и ты сам, оператор, находитесь на территории РФ. И вот то, что есть в законе, - это стимул для того, чтобы задуматься: может быть, правильно использовать те сервисы, которые всегда находятся здесь - российские мессенджеры, которые обеспечивают и безопасность, и конфиденциальность данных, и точно уж не отключат в одностороннем порядке тебя из-за того, что какой-то зарубежный регулятор сказал им так сделать?

Но я хочу обратить внимание еще на один аспект. К нам часто обращаются организации, особенно из финансового рынка: "А если я сделаю вот так, а если я сделаю эдак?". Пытаются уйти от нарушения прямого запрета на передачу персональных данных. Но мы обращаем внимание всегда: в законе же не только на передачу персональных данных и платежной информации запрет. Там запрет для банков на подключение своих систем информационных к этим мессенджерам. То есть, если ты подключил свои системы, то уже нарушаешь закон вне зависимости от того, что ты там передаешь.

А есть ли уже какая-то практика наказаний за это, претензий за использование?

Милош Вагнер: С марта, пока работает закон, мы двум операторам отправляли требования, чтобы они прекратили прием персональных данных. Называть не буду, но два случая были.

Они подчинились?

Милош Вагнер: Да, исполнили. В общем, других шансов у них не было, исполнили по закону.