Роскомнадзор нашел дыру в МТС-банке

Роскомнадзор (РКН) провел проверку сообщений о возможной утечке данных почти 1 млн клиентов МТС-банка, рассказал «Ведомостям» представитель службы. По ее результатам факт утечки персональных данных (ПД) был подтвержден, говорит собеседник. РКН «составил административный протокол о нарушении законодательства о защите персональных данных, он будет передан в суд», сообщил представитель ведомства 18 октября.

В начале сентября о возможной утечке данных 1 млн клиентов МТС-банка сообщил Telegram-канал «Утечки информации». По его сведениям, в свободном доступе оказались такие ПД, как ФИО, номера телефонов, даты рождения, ИНН, гражданство, а также в частичном виде номера банковских карт.

«Инфраструктура МТС-банка не подвергалась атакам, данные пользователей вне опасности», – уверяла тогда пресс-служба МТС (владелец финансовой организации, банк входит в экосистему сотового оператора). Прямого ответа на вопрос, оказались ли скомпрометированы ПД клиентов банка, представитель МТС в сентябре не давал, но подчеркнул, что в базе содержались «маскированные номера банковских карт, выпущенных различными российскими банками». Сообщения о возможной утечке в МТС-банке в начале сентября публиковали крупнейшие СМИ и РКН инициировал проверку этих сведений, сообщали тогда «Ведомости».

Теперь представитель МТС переадресовал вопросы «Ведомостей» в МТС-банк. Представитель банка отказался от комментариев.

«Сейчас за утечку ПД компании грозит символический штраф от 60 000 до 100 000 руб. вне зависимости от количества граждан, чьи данные попали в открытый доступ», – констатирует партнер коллегии адвокатов Pen & Paper Сергей Учитель.

Это приводит к тому, что ответственность за нарушение законодательства о ПД обходится дешевле, чем приобретение, внедрение и обслуживание технических средств защиты, добавил он.

Практика назначения таких штрафов демонстрирует довольно либеральный подход, добавляет директор по правовым вопросам Фонда развития интернет-инициатив Александра Орехович. По ее словам, даже если эксперты исчисляют возможный ущерб от утечек сотнями миллионов рублей, суды все равно штрафуют компании на десятки тысяч рублей. «Прогремевшая на всю страну утечка данных 7 млн пользователей сервиса доставки еды завершилась штрафом для компании на 60 000 руб.», – добавила Орехович (в марте 2022 г. сообщалось об утечке данных сервиса «Яндекс еда». – «Ведомости»). Поэтому, продолжила Орехович, в России обсуждается законодательная новелла, предполагающая оборотные штрафы за утечки ПД пользователей.

В конце июля 2023 г. сенаторы Андрей Турчак и Ирина Рукавишникова, а также депутат Госдумы от «Единой России», глава комитета по информполитике Александр Хинштейн направили на отзыв правительству законопроект об оборотных штрафах за утечки ПД. На данный момент авторы законопроекта все еще ожидают этого отзыва, пояснил «Ведомостям» Хинштейн. При этом правительственная комиссия по законопроектной деятельности поддержала этот законопроект, подчеркнул депутат.

«Законопроект об оборотных штрафах в различных редакциях содержит гораздо более жесткие санкции – от 1,5 до 3% от годовой выручки компании, но не менее определенных сумм от 10–15 млн руб.», – продолжила Орехович. Подобные меры «станут стимулом для компаний к усилению мер по обеспечению сохранности данных пользователей», отметила эксперт. В то же время следует понимать, что практика оборотных штрафов в российских правовых реалиях не слишком распространена, сетует Орехович.

Любая утечка – это всегда репутационные издержки для компаний, отмечает руководитель департамента цифровых решений агентства «Полилог» Людмила Богатырева. «Сегодня репутационный ущерб – фактически единственное последствие утечек для компаний, их допустивших. Но и он влияет только на бизнесы с относительно высокой культурой и работающие в конкретной среде, например на банки, из которых клиенты могут уйти после нескольких лет обслуживания», – парирует основатель сервиса разведки утечек данных DLBI Ашот Оганесян. Участникам же более простых рынков, тем же логистам и доставщикам, часто допускающим масштабные утечки, «репутация откровенно не важна, так как их отношения с клиентом одноразовые», считает эксперт.

С другой стороны, следует понимать, что любой рубеж технологической защиты может разрушить человеческий фактор, отметила Богатырева. «По некоторым оценкам, в 74% случаев утечки происходят по вине менеджеров отделов снабжения, бухгалтеров, экономистов, маркетологов, финансистов, секретарей, помощников руководителей», – говорит эксперт, подчеркнув, что стопроцентную защиту от утечек «не гарантирует даже служба безопасности, отслеживающая каждый клик сотрудника».