Сервисы начали передавать обработку персональных данных сторонним компаниям
Для снижения репутационных рисков компании скрывают утечки персданных и отдают их партнерским организациям. Официальных сообщений о потере данных в прошлом году стало меньше, а число утечек больше.
Количество опубликованных строк пользовательских данных в 2023 году увеличилось на 24% и составило 342 млн строк, а признаний со стороны компаний было меньше на 8%, говорится в отчете сервиса Kaspersky Digital Footprint Intelligence. Заметный рост потери персданных произошел в сферах финансов и здоровья.
Операторы продолжают скрывать утечки, несмотря на требование закона сообщать о них.
При инцидентах, операторам стоит взаимодействовать максимально открыто с Роскомнадзором, пояснил заместитель главы надзорной службы Милош Вагнер в ходе пленарной дискуссии BIS Summit 2023. Важно извещать о полном объеме возможной потере данных по их оценкам, а не сообщать о том, количестве персданных, которые они увидели выложенными в Сеть злоумышленниками. Потому что, если через какое-то время нарушители выложат еще один дамп (файл) их данных, то слова оператора о том, что эти персданные из первой утечки, а не повторной, будут звучать не убедительно, пояснил представитель Роскомнадзора.
При этом, операторы данных выводят, либо планируют выводить обработку персональных данных в сторонние компании, не имеющих экспертизы и репутации в работе с персданными, признаются эксперты. Это касается обработки и идентификации личности.
Так ряд шеринговых сервисов передает на обработку персданные клиентов петербургской компании ООО «Кабутек», которая начала работать в 2022 году. В договорах на обработку персональных данных эта компания указана у каршеринга «Делимобиль», классифайда «Авито», шеринга услуг «Профи». Последний ресурс разместил на своем сайте пояснение по использованию данных компанией «Кабутек».
«Мы просим пройти проверку паспорта и подтвердить личность, потому что стремимся сделать сервис надёжным и безопасным. Мы не публикуем копии ваших паспортов, не выкладываем видеопортреты на сайте и никому их не передаём. Для проверки используем сервис компании ООО «Кабутек». Их услугами пользуются крупные операторы такси, каршеринга и другие проекты, похожие на Профи. ООО «Кабутек» не связана с государством или корпорациями и не передаёт им данные», – указано на портале Профи.
Злоумышленники все чаще стараются наладить контакт с потенциальной жертвой, чтобы получить выкуп напрямую, минуя публичное раскрытие информации о нарушении безопасности.
Документ был принят Госдумой в первом чтении 23 января 2024 г. Сейчас компании, допустившие утечку ПД, штрафуются до 300 тыс. рублей согласно ч. 1 ст. 13.11 КоАПа. Если законопроект будет принят, то за первый случай утечки данных компании будет назначен штраф в размере от 3 млн до 15 млн руб. в зависимости от количества записей, оказавшихся в открытом доступе. За повторные утечки компаниям будет грозить оборотный штраф от 0,1 до 3% выручки за календарный год или за часть текущего года, не менее 15 млн и не более 500 млн рублей.
Член Совета по правам человека при президенте РФ Игорь Ашманов сказал на совещании в ИТ-комитете Госдумы в конце 2023 года, что «только рублем, мы можем стимулировать бизнес защищать национальные данные».
Фото: Adobe Stock