Количество утечек данных в финансовом секторе в 2022 году увеличилось в 1,7 раз — до 48 случаев, пишет «Коммерсант» со ссылкой на исследование InfoWatch. При этом число скомпрометированных записей персональных данных и платежной информации выросло в 32 раза — с 1,4 млн штук до 44,8 млн.
Руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев объясняет ситуацию тем, что произошло несколько крупных кибератак, во время каждой из которых были украдены миллионы записей. Однако управляющий RTM Group Евгений Царев считает, что и раньше утечек было достаточно, но сейчас статистика стала приближаться к реальности, хотя все еще не полностью соответствует ей.
Доля банков, МФО и страховых компаний снизилась (с 92,8% до 66,5%) в сегментах, в которых произошли утечки, следует из данных InfoWatch. При этом доля инвесткомпаний, платежных сервисов и криптобирж выросла. Почти с нуля до 13% возросла доля утечек информации, составляющей коммерческую тайну. Как рассказал изданию Андрей Арсентьев, это произошло в связи со смещением вектора угроз в сторону внешних злоумышленников: рядовой менеджер банка не имеет доступа к информации к коммерческим тайнам — инвестпланам, закрытым отчетам. Однако заместитель гендиректора компании «Гарда Технологии» Рустэм Хайретдинов все же считает, что любая внешняя атака имеет внутренние причины: халатное отношение клиентов, администраторов, настраивающих средства защиты и инфраструктуру, а также разработчиков программного обеспечения, которые не соблюдают принципы безопасной разработки.
Ранее зампред ЦБ Герман Зубарев сообщил, что Банк России планирует ввести личную ответственность топ-менеджеров банков, занимающихся информационной безопасностью. «Нарушения и утечки будут наказываться вплоть до дисквалификации», — рассказал Зубарев. Он пояснил, что у регулятора есть набор квалификационных требований к заместителям руководителей по безопасности. В случае утечки профильный заместитель перестанет им соответствовать, а ЦБ выпустит предписание о его замене, если при проверке выяснится, что организация нарушала требования информбезопасности. Зубарев отметил, что эта инициатива пока находится в стадии проекта.
Также, согласно доработанному законопроекту Минцифры, диапазон оборотных штрафов за утечки персональных данных в компаниях будет составлять от 5 млн до 500 млн рублей. В ведомстве также выступали за введение штрафы до 3% от годового оборота компании за утечку данных.
