Не виноватые мы, хакер сам пришел
Резонансное решение принял мировой суд московского района Новогиреево: оштрафована крупнейшая лабораторная сеть «Гемотест».
Казалось бы, какие вопросы? Компания допустила утечку персональных данных своих клиентов и должна за это ответить. Смущает лишь величина штрафа — 60 тысяч рублей. Сущий пустяк для гиганта, который имеет больше 1700 лабораторных отделений в 700 городах и ежегодно обслуживает больше 11,6 миллиона пациентов.
Украденное уже выставлялось на продажу в даркнете — теневом сегменте интернета. Пострадать могли миллионы клиентов. В полученном злоумышленниками массиве данных есть все, о чем только может мечтать мошенник: реальные фамилия-имя-отчество, дата рождения, адрес, СНИЛС, серия и номер паспорта, телефон и электронная почта. Отличная база для того, чтобы названивать жертвам, представляясь сотрудником лаборатории, банка или полиции, либо использовать украденные данные для персонализированной рекламы.
Конечно, штраф в 60 тысяч судья назначил не из-за своего мягкосердечия — максимальный штраф по этой статье составляет 100 тысяч рублей. Но даже против этой символической суммы (в сравнении с потенциальным ущербом для клиентов) компания возражала, доказывая в суде, что не имеет к инциденту никакого отношения. Мол, не виноватые мы, хакер сам пришел! Это как если бы ограбленный банк, не обеспечивший сохранность средств вкладчиков, просто отмахнулся бы от их претензий.
Персональные данные у нас требуют тысячи учреждений и фирм. Так, дескать, положено, без них никаких услуг не окажут. Но, как выясняется, коммерческие компании порой не стремятся вкладываться в сохранность информации.
Это же требует найма квалифицированных специалистов, контроля в режиме 24/7 — то есть солидных расходов. Неслучайно в последнее время стало известно о компрометации данных клиентов самых разных сервисов. А штрафа никто не боится. В частности, «Яндекс.Еду» наказали на те же 60 тысяч рублей.
Если ничего не предпринять, персональные данные каждого гражданина станут общественным достоянием. Вместе с его медицинскими анализами, результатами медосмотра и прочими интимными тайнами. Может, пора пересмотреть порядок сбора этой чувствительной информации? Так ли необходимо продолжать собирать ее на каждом углу? И уж совершенно точно штрафы за недобросовестное хранение персональных данных следует радикально увеличить.
Сейчас обсуждается законопроект, согласно которому компании, допустившие утечку информации о клиентах, должны платить так называемые оборотные штрафы — от одного до трех процентов годовой выручки в зависимости от реакции провинившихся на инцидент и оказанной ими помощи в расследовании. Бизнес всячески этому противится, пытаясь пролоббировать норму, чтобы за первую утечку вообще не штрафовали. Дескать, трудные времена, проблемы с поставщиками и логистикой, у покупателей денег нет, а тут вы со своими оборотными штрафами.
Меж тем в картотеке судебных дел появилась запись: нашумевшее постановление обжаловано. Понятно, что гиганта лабораторной диагностики пугает ущерб репутации. Но ведь репутацию формирует не сам факт утечки (хакеры действительно могут атаковать кого угодно), а реакция компании на случившееся, стремление сделать все, чтобы инцидент не повторился. Наш же бизнес, похоже, продолжает настаивать на своем праве безответственного хранения чужих тайн.
Мнение колумнистов может не совпадать с точкой зрения редакции
