В 2013 году количество утечек персональных данных в России выросло более чем вдвое. По оценкам InfoWatch, всего за прошлый год было скомпрометировано 3,1 млн записей. Персональные данные стали самым массовым типом утекающей информации в России – на них пришелся 81% всех утечек, тогда как в 2012 году этот показатель составил 65%.
Рост числа фиксируемых в СМИ утечек отчасти объясняется вниманием государства и регуляторов к вопросам защиты персональных данных. Однако по мнению аналитиков даже повышение информированности о проблеме не окажет существенного влияния на уровень защищенности данных в российских организациях. Необременительность штрафных санкций, а также пассивная реакция самих граждан, пострадавших от утечек, и приводят к тому, что ситуация не меняется.
Примечательно, что в двух случаях их трех утечки персональных данных происходили из небольших организаций. При этом совсем не обязательно, что масштаб утечки в небольших компаниях также будет небольшим. Для среднего бизнеса последствия от утечек крупных массивов данных весьма критичны – это серьезный репутационный и финансовый ущерб, который в ряде случаев более ощутим, чем для крупных компаний. В ряде отраслей (например, в торговле или туризме) утечка базы клиентских данных может привести к убыткам, сопоставимым с оборотом компании за несколько месяцев.
Подавляющее число утечек до сих пор происходит через каналы, которые могут быть перекрыты техническими средствами. Так, через бумажную документацию персональные данные утекали примерно в 42% случаев, на втором месте – Интернет. Обычно нарушителем, по вине которого происходит утечка, является рядовой сотрудник компании, и только в 9% случаев вина за утечку лежит на руководителях.
Как утверждают в InfoWatch, сценарии российских утечек незамысловаты и однообразны, а доля инцидентов, где невозможно определить виновного, очень невелика: около 15%. На данный момент каждая пятая утечка персональных данных в России приходится на государственные органы. В 18% случаев информация утекает из компаний, работающих в сфере ЖКХ. Замкнули тройку «лидеров» финансово-кредитные организации с показателем 16%. При этом меньше всего о безопасности персональных данных граждан заботятся компании сферы ЖКХ – судя по картине утечек, технические средства защиты информации в таких организациях практически не используются.
Столь низкий уровень защищенности персональных данных в России связан преимущественно с позицией регуляторов в отношении различных аспектов защиты персональных данных: практика защиты информации лишь «на бумаге», мизерные суммы штрафов, отсутствие законодательных инициатив, обязывающих организации публиковать факты утечки данных и информировать о них пострадавших граждан. Вероятно, российские коммерческие компании и государственные органы начнут обеспечивать реальную безопасность данных только в том случае, если за утечки будут отвечать серьезными штрафами и собственной репутацией.