Разделы

B2BSecurity Маркет

Американские провайдеры заплатят $10 млн за хранение в открытом доступе пользовательских данных

Данные более 300 тыс. пользователей хранились в открытом доступе по вине подрядчика. Американские провайдеры TerraCom Wireless и YourTel Wireless, доверившие некомпетентной компании управление конфиденциальной информацией своих клиентов, заплатят $10 млн штрафа.

Федеральное агентство связи (FCC) США провело расследование в отношении двух телекоммуникационных провайдеров, обвинив их в некомпетентности, которая привела к хранению в открытом доступе конфиденциальной информации более 300 тыс. пользователей.

TerraCom Wireless и YourTel Wireless – провайдеры мобильной связи, управляемые одной командой и имеющие общих акционеров. В рамках подключения к своим услугам, помимо основных данных, компании собирали информацию, подтверждающую доходы отдельных категорий клиентов, факт участия в различных государственных программах помощи, а также номера страховок, водительских прав и множество других документов. Пользователи оповещались о том, что вся информация надежно защищена.

Управление данными осуществлял подрядчик, использовавший для их хранения незащищенные сервера. Кроме того, документы не шифровались и были доступны в обычном читабельном формате и в виде изображений, которые мог просматривать любой пользователь интернета. Данные были обнаружены журналистом Scripps Howard News Service, который получил к ним доступ по URL через обычный поисковый запрос в Google. Расследование инцидента привело к наложению штрафа на TerraCom и YourTel в размере $10 млн.

Как сократить время на настройку резервного копирования и повысить его надежность?
Цифовизация

По мнению экспертов, российское законодательство в плане размера штрафных санкций крайне неэффективно по сравнению с вышеприведенным примером. Комментирует менеджер по развитию бизнеса «Лаборатории Касперского» Кирилл Керценбаум: «Российский закон «О персональных данных» предусматривает штрафы как для физических, так и для юридических лиц в случае нарушения приватности персональных данных сотрудников, клиентов и прочих групп лиц. На данный момент в России фактически это единственный нормативный акт, предусматривающий финансовые санкции для компаний, пренебрегающих достаточным уровнем эффективности защиты данных. Однако предусмотренные ФЗ-152 штрафные санкции очень символичны, суммы исчисляются максимум десятками тысяч рублей. При этом прецедентов, когда уполномоченный контролирующий орган, Роскомнадзор, ежегодно применяет взыскания на тысячи компаний и должностных лиц, достаточно много. В ближайшее время планируется почти 100-кратное увеличение размера штрафа, что должно сподвигнуть компании улучшить защиту персональных данных».

Дмитрий Дудко, руководитель проектов по информационной безопасности компании «АйТи», согласен, что на данный момент размер штрафов за аналогичные нарушения в России незначительный, а процедура взыскания очень длительная и малопродуктивная. «Регуляторы предпочитают идти путем предписаний на устранение нарушений», – комментирует эксперт.