«МТС Банк» допустил утечку персональных данных миллиона своих клиентов. Роскомнадзор провел расследование и подтвердил инцидент, составил административный протокол, который передаст в суд. Ответственность за такие правонарушения следует как можно быстрее ужесточить, но и после этого гарантий неприкосновенности персональных данных у россиян не будет, заявили aif.ru эксперты.
Какие данные утекли
Первые сообщения о масштабной утечке данных клиентов «МТС Банка» появились еще в начале сентября, в том числе в Telegram-канале «Утечки информации» основателя сервиса мониторинга даркнета DLBI Ашота Оганесяна. Однако в «МТС Банке» проблему не признали.
Пресс-служба банка заявляла, что базы с данными его клиентов не содержат банковской тайны, счета находятся в безопасности, а сам банк атаке хакеров не подвергся. Утечку «МТС Банк» объяснял проблемами на стороне «ретейл-компании» или «поставщиков цифровых сервисов», которые хранят и обрабатывают платежные данные пользователей.
Тем не менее инцидентом заинтересовались надзорные органы. В результате проверки Роскомнадзор доказал факт утечки персональных данных из «МТС Банка». Злоумышленникам достались фамилии, имена и отчества, номера телефонов, даты рождения, ИНН, сведения о поле и гражданстве клиентов банка.
Какую ответственность понесет банк
Хотя свежая и столь крупная утечка позволит телефонным мошенникам активизировать свою деятельность и наверняка принесет массу неприятностей клиентам «МТС Банка», серьезного наказания за это не последует, заявил aif.ru глава Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн.
«Только вдумайтесь, утечка на миллион строк, за каждой из которой стоит конкретный человек, в банке очевидные проблемы с системой информационной безопасности — а максимальная санкция за это по действующему законодательству составляет до 100 тысяч рублей. Что такое 100 тысяч рублей для банка, тем более крупного? Ничто! Поэтому закон об оборотных штрафах за утечки персональных данных нужен уже сейчас», — подчеркнул депутат.
По словам Хинштейна, сейчас российскому бизнесу нет нужды вкладывать серьезные деньги в усиление кибербезопасности, потому что даже масштабная утечка обходится в символический штраф. «Необходимо ужесточить ответственность компаний за утечку персональных данных наших граждан и ввести чувствительные оборотные штрафы за повторные утечки. Это должно изменить ситуацию. Регулятор получит действенный механизм по давлению на компании, которые халатно относятся к этой проблеме», — пояснил он.
Как защитить персональные данные
Новый законопроект об оборотных штрафах, который проходит финальные согласования перед внесением в Госдуму, предусматривает верхнюю планку штрафа в полмиллиарда рублей. Конкретный размер будет зависеть от финансовых показателей организации-нарушителя и будет выражаться в проценте от оборота.
В случае утверждения законопроекта штрафы станут болезненными для бизнеса, но не дадут гарантии защиты персональных данных, объяснил aif.ru декан факультета международных экономических отношений Финуниверситета при Правительстве РФ Павел Селезнев.
«Ужесточение ответственности за утечки, безусловно, улучшит ситуацию в этой сфере, потому что заставит бизнес уделять больше сил защите персональных данных клиентов. Однако гарантий защиты людям это не даст, потому что в кибербезопасности постоянно идет состязание средств защиты и нападения. Как только специалисты придумывают новые средства по защите данных, хакеры тут же стремятся их взломать, и этот процесс движется по спирали», — рассказал эксперт.
Кроме того, нельзя исключать и банальную коррупцию, когда даже при совершенных средствах киберзащиты утечка происходит по вине сотрудника с доступом к базам данных. «Хотя и тут штрафы должны повлиять на ситуацию в лучшую сторону. Тем не менее даже при суровых наказаниях за утечки людям нужно быть готовыми к тому, что их данные окажутся у злоумышленников, и не терять бдительности», — заключил Павел Селезнев.