Infowatch: общемировой объем штрафов за утечки персональных данных превысил $300 млн

Аналитический центр Infowatch представил результаты глобального исследования случаев вынесения штрафных санкций государственным и коммерческим организациям за утечки персональных данных (ПД) и платежной информации. Число и объем штрафов за подобные нарушения в мире растут: если в 2017 г. по результатам 39 инцидентов организациями было выплачено около $45 млн, то в 2018 г. регуляторами было вынесено уже 57 штрафов компаниям на общую сумму свыше $320 млн. Таким образом, за год общемировой размер денежных санкций за утечки ПД и финансовой информации увеличился более чем в семь раз, а средний размер штрафа — в пять раз до $5,7 млн. Если в 2017 г. штрафы за утечки ПД коснулись организаций из восьми государств, то в 2018 г. подобные санкции применялись к компаниям из 11 стран: это Австрия, Бразилия, Великобритания, Германия, Голландия, Испания, Италия, Португалия, Сингапур, США и Франция. При этом большая часть вынесенных в 2017-2018 гг. постановлений о наказании за утечки данных пришлась на компании из США, Великобритании и Сингапура. Строже в этой сфере стали действовать уполномоченные органы Франции — если в 2017 г. они приняли только одно постановление о штрафе, то в 2018 г. подобные взыскания накладывались уже шесть раз. Напомним, что с 2018 г. в Европейском Союзе вступил в силу закон, устанавливающий принципы и требования к защите персональных данных — General Data Protection Regulation (GDPR). За нарушение прав субъекта, принципов обработки и правил передачи ПД, игнорирование запрета на обработку данных и другие нарушения на компанию налагается штраф в размере 4% от общего годового оборота предприятия или 20 млн евро. За нарушение порядка уведомления об инциденте, отсутствие сотрудника по защите данных, где это необходимо, незаконную обработку ПД ребенка и прочее, предусмотрены меньшие, однако не менее существенные штрафы — 10 млн евро или 2% от общего годового оборота предприятия. Первые штрафы за нарушение общеевропейского регламента были зарегистрированы в конце 2018 г. Например, больница «Баррейру и Монтижу» в Португалии была оштрафована на 400 тыс. евро за грубые нарушения при обеспечении доступа к защищенной законом информации. «Подразумевая серьезную ответственность за несоблюдение правил хранения и обработки персональной информации граждан, GDPR, по сути, устанавливает глобальные стандарты защиты данных, — отметил аналитик ГК Infowatch Андрей Арсентьев. — Действие GDPR будет вести к росту ответственности за нарушения в области обеспечения конфиденциальности защищенной личной информации, поэтому в перспективе серьезные нарушения могут повлечь для крупных компаний миллиардные издержки». В 2018 г. было вынесено три масштабных взыскания на общую сумму свыше $200 млн. Компания Uber выплатила $148 млн за допущенную в 2016 г. утечку персональных данных более 57 млн клиентов и водителей — этот штраф стал крупнейшим в истории за нарушения в области защиты информации. Компания Yahoo была оштрафована на $50 млн за компрометацию 3 млрд аккаунтов пользователей, которая произошла в 2013-2014 гг. Британскому Tesco Bank был вынесен штраф в размере $20,9 млн за инцидент, связанный со взломом аккаунтов клиентов на сумму $2,9 млн. Средний размер штрафа за утечку данных в США в 2018 г. составил $23,3 млн — это в восемь раз больше, чем в 2017 г. Без учета мега-штрафа компании Uber средний объем взысканий в США увеличился в четыре раза. В Великобритании средний чек за утечку информации вырос в 14 раз до $1,69 млн, без учета штрафа в адрес Tesco Bank рост составил 2,5 раза. В ряде других стран, где были зафиксированы постановления о взыскании за утечку персональных данных, например, в Италии или Испании, размер штрафа увеличился минимум в два раза и в среднем превысил $1 млн. Среднее наказание компаний за утечку данных в Сингапуре увеличилось на треть и составило около $10 тыс. в 2018 г. Это единственная азиатская страна, где есть устоявшаяся практика финансового воздействия на нарушителей законодательства в области защиты персональных данных. В России в 2017-2018 гг. сообщений о вынесенных организациям штрафах за утечки данных зафиксировано не было. Напомним, что в 2018 г. Минкомсвязь России разработала законопроект о внесении изменений в Кодекс об административных правонарушениях (КоАП), согласно которому юридическое лицо, допустившее нарушение в области защиты персональных данных, необходимо наказывать штрафом в размере от 10 до 30 тыс. руб. В отраслевом распределении участились случаи штрафов организациям высокотехнологичного сегмента — в 2018 г. на эту сферу пришлась четверть взысканий за утечки персональных данных. В два раза — до 16% от всех штрафов возросла доля организаций финансовой сферы, были зафиксированы санкции в адрес промышленных и транспортных предприятий (12%), образовательных учреждений (7%). Снизились доли штрафов медицинским (17%) и государственным (7%) организациям. По словам Андрея Арсентьева, ужесточение нормативной базы в сфере защиты от утечек данных будет способствовать более ответственному подходу организаций к безопасности информационных активов предприятия и защите от внутренних угроз информационной безопасности. Компании продолжат укреплять контур безопасности с помощью внедрения DLP-систем (Data Leak Prevention — предотвращение утечек информации) и технологий предиктивной аналитики, ведь утечки информации по вине внутренних нарушителей становятся все дороже, указал эксперт Infowatch. Ссылка на источник