Разделы

B2BSecurity Маркет

Американские провайдеры заплатят $10 млн за хранение в открытом доступе пользовательских данных

Данные более 300 тыс. пользователей хранились в открытом доступе по вине подрядчика. Американские провайдеры TerraCom Wireless и YourTel Wireless, доверившие некомпетентной компании управление конфиденциальной информацией своих клиентов, заплатят $10 млн штрафа.

Федеральное агентство связи (FCC) США провело расследование в отношении двух телекоммуникационных провайдеров, обвинив их в некомпетентности, которая привела к хранению в открытом доступе конфиденциальной информации более 300 тыс. пользователей.

TerraCom Wireless и YourTel Wireless – провайдеры мобильной связи, управляемые одной командой и имеющие общих акционеров. В рамках подключения к своим услугам, помимо основных данных, компании собирали информацию, подтверждающую доходы отдельных категорий клиентов, факт участия в различных государственных программах помощи, а также номера страховок, водительских прав и множество других документов. Пользователи оповещались о том, что вся информация надежно защищена.

Управление данными осуществлял подрядчик, использовавший для их хранения незащищенные сервера. Кроме того, документы не шифровались и были доступны в обычном читабельном формате и в виде изображений, которые мог просматривать любой пользователь интернета. Данные были обнаружены журналистом Scripps Howard News Service, который получил к ним доступ по URL через обычный поисковый запрос в Google. Расследование инцидента привело к наложению штрафа на TerraCom и YourTel в размере $10 млн.

По мнению экспертов, российское законодательство в плане размера штрафных санкций крайне неэффективно по сравнению с вышеприведенным примером. Комментирует менеджер по развитию бизнеса «Лаборатории Касперского» Кирилл Керценбаум: «Российский закон «О персональных данных» предусматривает штрафы как для физических, так и для юридических лиц в случае нарушения приватности персональных данных сотрудников, клиентов и прочих групп лиц. На данный момент в России фактически это единственный нормативный акт, предусматривающий финансовые санкции для компаний, пренебрегающих достаточным уровнем эффективности защиты данных. Однако предусмотренные ФЗ-152 штрафные санкции очень символичны, суммы исчисляются максимум десятками тысяч рублей. При этом прецедентов, когда уполномоченный контролирующий орган, Роскомнадзор, ежегодно применяет взыскания на тысячи компаний и должностных лиц, достаточно много. В ближайшее время планируется почти 100-кратное увеличение размера штрафа, что должно сподвигнуть компании улучшить защиту персональных данных».

Владимир Андреев, «ДоксВижн»: В 2023 безбумажный кадровый оборот будет в числе самых востребованных направлений автоматизации
Цифровизация

Дмитрий Дудко, руководитель проектов по информационной безопасности компании «АйТи», согласен, что на данный момент размер штрафов за аналогичные нарушения в России незначительный, а процедура взыскания очень длительная и малопродуктивная. «Регуляторы предпочитают идти путем предписаний на устранение нарушений», – комментирует эксперт.