Понедельник, 16.12.2019
×
Основные события мирового финансового рынка: 9 - 15 декабря 2019 года

Персональные данные: эра ответственности

+16 -0
Аа +
Тимур Аитов,

заместитель генерального директора ГК «Программный продукт»,  заместитель председателя комиссии по цифровым финансовым технологиям ТПП РФ

Компрометация данных, взломы, хищения - такие сообщения мы, увы, все чаще видим в СМИ. Атаки злоумышленников на финансовые системы участились, причем, не только в нашей стране. Во всем мире наблюдается взрыв преступной киберактивности.

Это - общее. А каковы отличия происходящего «у нас» и «у них»?

Явно мало информации об инцидентах – это, увы, у нас.

Да, какой-то банк «ограбили», да, прошла успешная атака - это неприятно. Но что за банк - неизвестно. Я сам недавно в кулуарах большого форума по ИБ слышал, как специалисты по информационной безопасности вполголоса друг у друга спрашивали: какой банк атаковали и что собственно произошло? Официальной информации не поступило.

Уже не говорю о конкретных персоналиях, допустивших печальное событие. Кто не досмотрел? Кто и как наказан? Об этом не сообщается (может быть - за редчайшим исключением).

А что у них, на «западной» стороне?

Мировой статистики с фактами и персонами явно больше.

Свежие примеры.

В ноябре 2017 представители Uber сами (!) выпустили заявление о взломе (взлом был аж в октябре 2016 года). В руки злоумышленников тогда попали данные 50 млн. пассажиров и 7 млн. водителей со всего мира. По данным Bloomberg, после взлома компания пыталась купить молчание злоумышленников за $100 000, но не получилось. Сам взлом послужил поводом для ключевых отставок в UBER, а сама компания понесла огромные убытки - после объявлений о компрометации более половины клиентов закрыли аккаунты и перестали с UBER сотрудничать.

Другой мировой лидер - компания PayPal – также сообщила о компрометации конфиденциальных данных 1,6 миллионов клиентов. Вина вменена TIO Networks - канадскому подразделению платежей, приобретенному PayPal в феврале 2017. Проблемы TIO привели к приостановке операций 10 ноября 2017 года.

Перечень инцидентов можно продолжить - среди них кража данных 143 млн. клиентов Equifax — бюро кредитных историй, агрегирующего и обрабатывающего данные более чем 800 млн. человек из 24 стран, включая Россию. Заметным в СМИ оказался и взлом кошельков Parity для криптовалюты Ethereum – злоумышленникам удалось похитить криптовалюту, стоимость которой эквивалентна $30 млн.

Что важно во всех событиях?

Обо всех подобных случаях сообщают сами компании, допустившие факты хищений. Действуют они явно не по доброй воле, а скорее потому, что ужесточилось законодательство: за сокрытие информации можно пострадать больше, чем в результате самого хищения. Напомню, в мае 2018 года вступает в силу европейский закон о защите персональных данных GDPR, в соответствии с которым штраф в размере 10 млн. евро (или 2% от оборота компании – в зависимости от того, какая цифра больше) получит компания за попытку утаить факт компрометации персональных данных. Сенат США недавно одобрил схожий законопроект (закон еще не принят), в соответствии с которым 5 лет тюрьмы может получить глава компании, пытавшийся утаить факты компрометации данных. Это, конечно, весомые стимулы говорить общественности правду.

У нас тоже появились симметричные законодательные акты.

Так, в январе 2018 года вступил в силу 187-ФЗ, существенно ужесточивший ответственность руководителей организаций за нарушение законодательства о защите критической инфраструктуры (под это определение попадают почти все банки). Теперь «нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового».

Опять-таки - очень весомый аргумент следить за сохранностью данных. Подождем, какова станет реальная правоприменительная практика по 187-ФЗ. Если пойдет все как задумано - мы тоже узнаем много новых событий и имен «героев», которым до сих пор удавалось оставаться безымянными.

Заметили ошибку? Выделите её и нажмите CTRL+ENTER
все оценки »
+16 -0
1048
Редакция Finversia.ru может не разделять точку зрения авторов,
материалы которых опубликованы в рубрике «Оценки».

обсуждение

Ваш комментарий
Вы зашли как: Гость. Войти через

Искусственный интеллект в современных финансах Искусственный интеллект в современных финансах За последние 20 лет финансовый сектор пережил огромное количество технологических новаций, многие из которых каждый раз воспринимались как исключительно революционные. К числу самых важных, безусловно, следует отнести появление Интернета и всего спектра, связанных с ним услуг. Персональные данные как чемодан без ручки Персональные данные как чемодан без ручки Глобализация коммуникаций, улучшение качества сетей интернет, а также наличие мобильных коммуникационных устройств стимулирует процессы сбора информации, идентифицирующих граждан. Про биометрию и Аль-Каиду Про биометрию и Аль-Каиду Тема краж методами социальной инженерии (СИ) стоит сегодня остро – более 90% хищений со счетов физических лиц совершаются талантливыми психологами, способными уговорить клиента совершить платеж в своих корыстных интересах. Шифрование, двухфакторная аутентификация, иные технические преграды помешать этому, увы, не в состоянии. Клиент своими руками выполняет перевод или же дает злоумышленнику возможность его совершить, сообщая коды подтверждения операции. Бороться с СИ бесполезно – таково мнение большинства специалистов в сфере информационной безопасности. Но стоит ли опускать руки?
Все статьи автора (13)

[_$Blocks_DefaultController:render(17)]

Новости »

[_$Blocks_DefaultController:render(32)]