https://ria.ru/20220506/dannye-1787026396.html
"Легче заплатить штраф": почему персональные данные россиян попадают в Сеть
"Легче заплатить штраф": почему персональные данные россиян попадают в Сеть - РИА Новости, 06.05.2022
"Легче заплатить штраф": почему персональные данные россиян попадают в Сеть
На днях в даркнете опубликовали данные более тридцати миллионов клиентов сети лабораторий "Гемотест": результаты анализов крови и мочи, ПЦР-тестов на... РИА Новости, 06.05.2022
2022-05-06T08:00
2022-05-06T08:00
2022-05-06T15:19
общество
технологии
россия
европа
сша
ашот оганесян
федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (роскомнадзор)
яндекс
https://cdnn21.img.ria.ru/images/07e5/08/1f/1748022230_0:282:2874:1899_1920x0_80_0_0_c3f9410227bcf64cdb00816b3ecdb474.jpg
МОСКВА, 6 мая — РИА Новости, Анастасия Гнединская. На днях в даркнете опубликовали данные более тридцати миллионов клиентов сети лабораторий "Гемотест": результаты анализов крови и мочи, ПЦР-тестов на венерические заболевания — вместе с именами и номерами телефонов. Специалисты по IT-безопасности указывают: персональная информация в России защищена из рук вон плохо. В случае утечки компания выплачивает копеечный штраф, а пострадавшие даже не знают, куда обращаться. РИА Новости разбиралось в ситуации.Медицинская тайна на продажуО сливе сведений о клиентах одной из крупнейших лабораторий страны стало известно 3 мая — первым об этом написал Telegram-канал, специализирующийся на утечках информации. Как рассказал РИА Новости создатель ресурса Ашот Оганесян, на одном из теневых форумов для продажи выложили базу с фамилиями, адресами, номерами паспортов и телефонов клиентов медучреждения. Всего 31 миллион строк.В тот же день другой пользователь начал предлагать уже результаты анализов "Гемотеста", которые проводили с 2012-го — в базе не меньше 550 миллионов строк. В скрине, прикрепленном "поставщиком" в качестве примера, помимо исследований мочи и крови, есть данные о заболеваниях, передающихся половым путем, в частности хламидиозе. Также, по сообщениям СМИ, в Сеть выгрузили и тесты на ВИЧ.За доступ к массиву информации киберпреступники просили от полутора до двух миллионов рублей. Как предполагает Оганесян, возможность выкачать базы появилась у хакеров благодаря уязвимости лабораторного ПО.В "Гемотесте" сразу начали служебное расследование, лаборатория усилила меры по защите персональной информации. Роскомнадзор обратился в прокуратуру с запросом о проведении проверки. Но, несмотря на это, спустя три дня после слива данных базы все еще продавали. И предложений стало даже больше.Пострадавшим — по 10 тысячЗа последние три месяца это не первый случай утечки персональной информации из крупной компании. Сервис "Яндекс.Еда" 1 марта заявил, что хакеры выложили в Сеть имена, фамилии, адреса и телефоны тысяч заказчиков. В качестве причины тогда назвали "недобросовестные действия одного из сотрудников". Роскомнадзор ограничил доступ к ресурсу, где торговали базой, в конце апреля суд оштрафовал компанию на 60 тысяч рублей. Впрочем, юристы говорят, что подобное наказание для конторы такого уровня — чистая формальность.По словам директора по правовым вопросам юридического сервиса Destra Legal Бориса Фельдмана, утечка персональных данных — административное правонарушение, за которое предусмотрен штраф."Но, к сожалению, по российскому законодательству взыскания крайне невысоки: от 60 до 100 тысяч рублей по одному составу и от 30 до 150 — по другому", — отмечает юрист.Человек, чьи данные раскрыли, имеет возможность подать гражданский иск. Клиенты "Яндекс.Еды" так и сделали: составили коллективное обращение в суд. Их интересы представляет Борис Фельдман. Заявители требуют компенсацию в сто тысяч рублей каждому. Размер морального вреда объясняют тем, что людям теперь досаждают звонками с рекламными предложениями. Их право на частную жизнь, личную и семейную тайну нарушено.Но в случае с "Гемотестом", считает юрист, последствия куда более серьезные: в Сеть попала информация о состоянии здоровья и интимной жизни миллионов человек."Медицинская информация — это специальная категория данных. На основании 152-го федерального закона оператор обязан применять особые технические и организационные меры для недопущения их утечки", — отмечает Борис Фельдман. Перспективу удовлетворения иска он оценивает как высокую. Сейчас его компания ищет пострадавших, которые готовы пойти в суд.Впрочем, рассчитывать на крупную компенсацию не стоит. Юрист обращает внимание, что российские суды сильно занижают размер морального ущерба по делам, не связанным с вредом жизни и здоровью. Стандартная компенсация — до десяти тысяч рублей."Штрафы — до 20 миллионов евро"Европейское законодательство в этом плане существенно строже. По словам Бориса Фельдмана, на операторов персональных данных в случае подтверждения утечки налагают безусловную обязанность платить компенсацию."То есть людям нет необходимости подавать иск, оплата происходит во внесудебном порядке, — объясняет эксперт. — Точную сумму не назову, но, например, в Германии каждый пострадавший получает около 300 евро".В странах Евросоюза обращение с персональными данными определяет регламент защиты персональных данных GDPR (the General Data Protection Regulation). За нарушение установленных требований предусмотрена компенсация морального и имущественного вреда. В коллективных исках сумма выплат на всех участников зачастую составляет несколько десятков миллионов евро. Кроме того, на компанию, допустившую утечку, налагают штраф до 20 миллионов евро или четырех процентов от годового оборота.Также в Европе привлекали к ответственности отдельных врачей за нарушение требований к обработке конфиденциальных сведений, добавляет Борис Фельдман. Взыскания достаточно большие: до шести тысяч евро.В США обращение с персональной информацией частично регулируется на региональном уровне — законами штатов. Но для всех действует федеральный HIPAA — Health Insurance Portability and Accountability Act, который устанавливает штрафы до 250 тысяч долларов за каждое нарушение."Известен случай, когда Министерство здравоохранения и социальных служб США совместно с прокурорами 42 штатов заключило соглашение с медицинской страховой компанией о выплате 39,5 миллиона долларов в связи с утечкой данных, — приводит пример юрист. — Она затронула 79 миллионов пациентов".Проще заплатитьПо словам специалиста по расследованию высокотехнологичных преступлений, директора компании "Интернет-розыск" Игоря Бедерова, помимо серьезных штрафов, в Европе введен прогрессивный расчет: чем больше граждан обратилось за защитой законных интересов, тем выше компенсация.В России же сумма взыскания фиксированная. И довольно небольшая. Например, штраф 60 тысяч для Яндекса — рекордный за последнее время. "До этого другую компанию-массмаркет за утечку данных обязали выплатить всего 30 тысяч, — уточняет Бедеров. — А если фирма докажет, что требования к информационной безопасности хотя бы формально соблюдены, платить и вовсе не придется".Проблема еще и в том, что даже в крупных российских компаниях до сих пор не сформировали культуру информационной безопасности."Поскольку руководство видит, что штраф минимальный, а у государства зачастую нет инструментов, чтобы проконтролировать исполнение требований федерального закона, принимают решение платить, а не усиливать защиту", — объясняет Бедеров.Есть сложности и с кадрами. Программа обучения специалистов в сфере информационной безопасности примерно такая же, как у программистов. Но зарплата в два раза ниже. "Плюс инфобезник рискует попасть под уголовную статью за разглашение персональных данных. Молодые люди просто не идут в эту сферу массово", — говорит эксперт.Специалисты сходятся в одном: защитить пользователей поможет увеличение штрафов. Сейчас же взыскания минимум в десять раз ниже, чем стоимость самих баз на черном рынке.
https://ria.ru/20220421/shtraf-1784679727.html
https://ria.ru/20190701/1555979096.html
https://ria.ru/20210719/rassledovanie-1741530248.html
https://ria.ru/20211007/umershie-1753385977.html
россия
европа
сша
РИА Новости
internet-group@rian.ru
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
2022
Новости
ru-RU
https://ria.ru/docs/about/copyright.html
https://xn--c1acbl2abdlkab1og.xn--p1ai/
РИА Новости
internet-group@rian.ru
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
РИА Новости
internet-group@rian.ru
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
общество, технологии, россия, европа, сша, ашот оганесян, федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (роскомнадзор), яндекс, персональные данные
Общество, Технологии, Россия, Европа, США, Ашот Оганесян, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Яндекс, персональные данные
МОСКВА, 6 мая — РИА Новости, Анастасия Гнединская. На днях в даркнете опубликовали данные более тридцати миллионов клиентов сети лабораторий "Гемотест": результаты анализов крови и мочи, ПЦР-тестов на венерические заболевания — вместе с именами и номерами телефонов. Специалисты по IT-безопасности указывают: персональная информация в России защищена из рук вон плохо. В случае утечки компания выплачивает копеечный штраф, а пострадавшие даже не знают, куда обращаться. РИА Новости разбиралось в ситуации.
Медицинская тайна на продажу
О сливе сведений о клиентах одной из крупнейших лабораторий страны стало известно 3 мая — первым об этом написал Telegram-канал, специализирующийся на утечках информации. Как рассказал РИА Новости создатель ресурса Ашот Оганесян, на одном из теневых форумов для продажи выложили базу с фамилиями, адресами, номерами паспортов и телефонов клиентов медучреждения. Всего 31 миллион строк.
В тот же день другой пользователь начал предлагать уже результаты анализов "Гемотеста", которые проводили с 2012-го — в базе не меньше 550 миллионов строк. В скрине, прикрепленном "поставщиком" в качестве примера, помимо исследований мочи и крови, есть данные о заболеваниях, передающихся половым путем, в частности хламидиозе. Также, по сообщениям СМИ, в Сеть выгрузили и тесты на ВИЧ.
За доступ к массиву информации киберпреступники просили от полутора до двух миллионов рублей. Как предполагает Оганесян, возможность выкачать базы появилась у хакеров благодаря уязвимости лабораторного ПО.
В "Гемотесте" сразу начали служебное расследование, лаборатория усилила меры по защите персональной информации. Роскомнадзор обратился в прокуратуру с запросом о проведении проверки. Но, несмотря на это, спустя три дня после слива данных базы все еще продавали. И предложений стало даже больше.
Пострадавшим — по 10 тысяч
За последние три месяца это не первый случай утечки персональной информации из крупной компании. Сервис "Яндекс.Еда" 1 марта заявил, что хакеры выложили в Сеть имена, фамилии, адреса и телефоны тысяч заказчиков. В качестве причины тогда назвали "недобросовестные действия одного из сотрудников". Роскомнадзор ограничил доступ к ресурсу, где торговали базой, в конце апреля суд оштрафовал компанию на 60 тысяч рублей. Впрочем, юристы говорят, что подобное наказание для конторы такого уровня — чистая формальность.
По словам директора по правовым вопросам юридического сервиса Destra Legal Бориса Фельдмана, утечка персональных данных — административное правонарушение, за которое предусмотрен штраф.
«
"Но, к сожалению, по российскому законодательству взыскания крайне невысоки: от 60 до 100 тысяч рублей по одному составу и от 30 до 150 — по другому", — отмечает юрист.
Человек, чьи данные раскрыли, имеет возможность подать гражданский иск. Клиенты "Яндекс.Еды" так и сделали: составили коллективное обращение в суд. Их интересы представляет Борис Фельдман. Заявители требуют компенсацию в сто тысяч рублей каждому. Размер морального вреда объясняют тем, что людям теперь досаждают звонками с рекламными предложениями. Их право на частную жизнь, личную и семейную тайну нарушено.
Но в случае с "Гемотестом", считает юрист, последствия куда более серьезные: в Сеть попала информация о состоянии здоровья и интимной жизни миллионов человек.
"Медицинская информация — это специальная категория данных. На основании 152-го федерального закона оператор обязан применять особые технические и организационные меры для недопущения их утечки", — отмечает Борис Фельдман. Перспективу удовлетворения иска он оценивает как высокую. Сейчас его компания ищет пострадавших, которые готовы пойти в суд.
Впрочем, рассчитывать на крупную компенсацию не стоит. Юрист обращает внимание, что российские суды сильно занижают размер морального ущерба по делам, не связанным с вредом жизни и здоровью. Стандартная компенсация — до десяти тысяч рублей.
"Штрафы — до 20 миллионов евро"
Европейское законодательство в этом плане существенно строже. По словам Бориса Фельдмана, на операторов персональных данных в случае подтверждения утечки налагают безусловную обязанность платить компенсацию.
"То есть людям нет необходимости подавать иск, оплата происходит во внесудебном порядке, — объясняет эксперт. — Точную сумму не назову, но, например, в Германии каждый пострадавший получает около 300 евро".
В странах Евросоюза обращение с персональными данными определяет регламент защиты персональных данных GDPR (the General Data Protection Regulation). За нарушение установленных требований предусмотрена компенсация морального и имущественного вреда. В коллективных исках сумма выплат на всех участников зачастую составляет несколько десятков миллионов евро. Кроме того, на компанию, допустившую утечку, налагают штраф до 20 миллионов евро или четырех процентов от годового оборота.
Также в Европе привлекали к ответственности отдельных врачей за нарушение требований к обработке конфиденциальных сведений, добавляет Борис Фельдман. Взыскания достаточно большие: до шести тысяч евро.
В США обращение с персональной информацией частично регулируется на региональном уровне — законами штатов. Но для всех действует федеральный HIPAA — Health Insurance Portability and Accountability Act, который устанавливает штрафы до 250 тысяч долларов за каждое нарушение.
"Известен случай, когда Министерство здравоохранения и социальных служб США совместно с прокурорами 42 штатов заключило соглашение с медицинской страховой компанией о выплате 39,5 миллиона долларов в связи с утечкой данных, — приводит пример юрист. — Она затронула 79 миллионов пациентов".
По словам специалиста по расследованию высокотехнологичных преступлений, директора компании "Интернет-розыск" Игоря Бедерова, помимо серьезных штрафов, в Европе введен прогрессивный расчет: чем больше граждан обратилось за защитой законных интересов, тем выше компенсация.
В России же сумма взыскания фиксированная. И довольно небольшая. Например, штраф 60 тысяч для Яндекса — рекордный за последнее время. "До этого другую компанию-массмаркет за утечку данных обязали выплатить всего 30 тысяч, — уточняет Бедеров. — А если фирма докажет, что требования к информационной безопасности хотя бы формально соблюдены, платить и вовсе не придется".
Проблема еще и в том, что даже в крупных российских компаниях до сих пор не сформировали культуру информационной безопасности.
«
"Поскольку руководство видит, что штраф минимальный, а у государства зачастую нет инструментов, чтобы проконтролировать исполнение требований федерального закона, принимают решение платить, а не усиливать защиту", — объясняет Бедеров.
Есть сложности и с кадрами. Программа обучения специалистов в сфере информационной безопасности примерно такая же, как у программистов. Но зарплата в два раза ниже. "Плюс инфобезник рискует попасть под уголовную статью за разглашение персональных данных. Молодые люди просто не идут в эту сферу массово", — говорит эксперт.
Специалисты сходятся в одном: защитить пользователей поможет увеличение штрафов. Сейчас же взыскания минимум в десять раз ниже, чем стоимость самих баз на черном рынке.
