«СёрчИнформ» подготовила дайджест интересных эпизодов наказания для нарушителей-частников. В сентябре несколько зарубежных компаний и организаций столкнулись с последствиями утечек информации. Штрафы оказались оглушительными. Новостей о наступлении ответственности для отечественных компаний, правда, не слышно.
В сентябре история об утечке данных из американского бюро кредитных историй Equifax достигла разрешения. Утечка произошла в прошлом году, от нее пострадало 147 млн человек. Компания получила штраф, причем не от собственной страны, а от Великобритании — в размере 500 тысяч фунтов (44 млн рублей). Это максимально возможное наказание за такое нарушение.
Еще одна история о трансграничной ответственности: Amazon, персонал которого уличили в коррупции, может поплатиться штрафом в 7 млрд долларов. Штрафа пока нет, но внутреннее расследование идет вовсю, и люди теряют должности. Менеджмент выясняет, кто из сотрудников был вовлечен во взяточничество. Сотрудники передавали информацию о внутренней кухне, удаляли негативные отзывы и восстанавливали удаленные аккаунты магазинов на площадке за вознаграждение. Для компании, которая выстроила бизнес на репутации открытости и прозрачности, ситуация более чем критична.
Сервис заказа такси Uber выплатит рекордный штраф в $148 млн по иску от 50 штатов США и округа Колумбия против компании в связи с попыткой скрыть утечку данных клиентов в 2016 г. Кроме штрафа Uber обязуется внедрить систему оповещения и предотвращения утечки данных, создать систему отслеживания поведения сотрудников и нанять независимого аудитора по кибербезопасности. В результате атаки хакеры получили имена, адреса электронной почты и номера телефонов около 57 млн пользователей и водителей сервиса по всему миру. Также были похищены примерно 600 тысяч номеров водительских удостоверений. Этот инцидент Uber скрывал больше года.
Для сравнения, 86% российских организаций, как показало ежегодное исследование уровня информационной безопасности в российских компаниях, не уведомляет пострадавших об утечках данных. Им благоволит закон, максимальный штраф для юридических лиц составляет в России всего 75 тысяч рублей. Это почти в 600 раз меньше, чем в Британии.
Частные лица по многим зарубежным законам несут пропорционально не меньшую ответственность, чем организации. В сентябре власти Сингапура оштрафовали киберэксперта на 5 тыс. сингапурских долларов ($3600) за взлом сети Wi-Fi в местном отеле без разрешения и публикацию в блоге информации, раскрывшей пароли гостиницы. Белый хакер Чжэн взломал сеть того отеля, в котором он остановился во время конференции.
В США бывший программист АНБ приговорен к 66 месяцам тюрьмы за то, что уносил исходный код секретных разработок и закрытую документацию домой. Делал он это с 2010 по 2015 годы. В документах содержались сведения по вопросам национальной обороны, в том числе материалы под грифами «совершенно секретно» и «секретная информация с особым режимом хранения».
Примечательны на этом фоне примеры с территории бывшего Советского Союза. В украинском Луцке в сентябре был вынесен приговор менеджеру «ПриватБанка», которого признали виновным в продаже клиентских данных. Следователи установили несколько подобных эпизодов. Сообщается, что подсудимый раскаивается, поэтому суд признал обвиняемого виновным и освободил от отбывания основного наказания с испытательным сроком в 1 год.
Обвинительным приговором закончилось дело бывшего замначальника отдела полиции в Севастополе. В сентябре ему был вынесен приговор — три года колонии за продажу данных о смерти людей и данных их родственников владельцу ритуальной фирмы. Эту историю можно назвать прецедентом. Правда, на фоне доступности любых данных в обычном и «темном» интернете такие приговоры выглядят исключительными.