По статистике Kaspersky Digital Footprint Intelligence, с которой ознакомились «Ведомости», за 2023 год было зафиксировано 155 объявлений об утечках данных пользователей российских компаний, на 8% меньше, чем в 2022-м. При этом количество опубликованных строк пользовательских данных за год увеличилось на 24% и составило 342 млн, количество опубликованных записей, содержащих пароли, возросло на 17,5%.
По мнению опрошенных «Ведомостями» экспертов, больше всего в 2023 году от кражи персональных данных страдали медицинские учреждения, финансовая сфера и госсектор.
Объявлений об утечках стало меньше, так как часть их все еще скрывается: несмотря на закон, обязывающий оператора сообщать об утечке, эффективного механизма контроля и наказания за нарушения пока нет, пояснил заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков. По словам руководителя сервиса аналитики и оценки цифровых угроз ETHIC ГК Softline Константина Мельникова, злоумышленники все чаще стараются наладить контакт с потенциальной жертвой, чтобы получить выкуп напрямую, минуя публичное раскрытие информации об утечках.
Сейчас компании, допустившие утечку персональных данных, штрафуются на 100–300 тысяч рублей. согласно ч. 1 ст. 13.11 КоАП. 23 января 2024 года Госдумой был принят в первом чтении законопроект об оборотных штрафах за утечки: в размере от 3 млн до 15 млн руб. в зависимости от количества записей, оказавшихся в открытом доступе. За повторные утечки компаниям будет грозить оборотный штраф от 0,1 до 3% выручки за календарный год или за часть текущего года, не менее 15 млн и не более 500 млн рублей.
По словам старшего эксперта по защите бренда Angara Security Виктории Варламовой, киберпреступники начали использовать аргумент «у вас произошла утечка данных» для шантажа, даже если утечки данных на самом деле нет. «Если законопроект об оборотных штрафах будет принят, то велики риски, что этот аргумент станет трендом 2024 года», — предполагает она.
