19 марта 2020 г.
Экспертно-аналитический центр InfoWatch провел исследование финансовых последствий инцидентов, связанных с утечкой пользовательских данных. В отчете представлен анализ штрафных санкций и решений о компенсациях, связанных с утечкой персональных данных и платежной информации из государственного сектора и коммерческих компаний в глобальном масштабе. Также аналитики провели небольшое исследование того, как крупные утечки персональных данных отражаются на курсе акций публичных компаний.
За 2019 год количество штрафов и решений по выплате компенсаций, которые государственные регуляторы вынесли в отношении различных компаний, увеличилось почти на 90%: с 57 до 108 инцидентов. Общая сумма штрафов и компенсационных выплат выросла в 19,4 раза и составила 6,224 млрд долл. (320 долл. в 2018 г.).
Треть выявленных штрафов пришлось на Евросоюз — в общей сложности 36 финансовых наказаний. Стоит отметить, что 28 из них, то есть 76%, вынесены в соответствии с требованиями общеевропейского регламента по защите информации GDPR.
Мировыми лидерами по числу штрафов стали США (26,8%), Сингапур (25,9%) и Соединённое Королевство Великобритании и Северной Ирландии (6,5%). Наибольшие доли штрафов пришлись на такие вертикали, как здравоохранение, хайтек и ритейл.
В России на основе публичных источников зафиксировано 6 штрафов за утечки персональных данных. Это всего 2,8% от общего числа вынесенных Роскомнадзором штрафов за различные нарушения в области защиты информации. Сумма выявленных аналитиками штрафов за утечки в России составила 180,5 тыс. рублей или 16,4% от общей суммы штрафов за нарушения законодательства о защите персональных данных.
В 2019 году средняя сумма взыскания за утечку данных в России составила всего чуть больше 30 тыс. рублей (по средневзвешенному курсу 465 долл.). В то же время в Великобритании она оказалась выше в 107 раз и составила 50,6 млн долл.
«В отличие от США и Евросоюза, российское законодательство в области защиты персональных данных пока достаточно мягкое, но положение начинает меняться. Например, уже ужесточена ответственность за невыполнение требований о хранении персданных на территории России. Не стоит широко копировать западные подходы, тем более, пока сфера корпоративной информационной безопасности в России относительно молодая и испытывает серьезную нехватку кадров, методик защиты информации и опыта использования современных технических решений. Но опыт зарубежных информационных регуляторов необходимо изучать, критически переосмысливать и правильно адаптировать под отечественную почву», — комментирует руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.
Проведенное аналитиками InfoWatch исследование также позволило проследить влияние выявленных утечек на курс акций публичных компаний. В выборку были включены 20 утечек, зарегистрированных в крупных компаниях, представленных на бирже, и прослежена динамика курса акций за определенные промежутки времени. Выяснилось, что в краткосрочной и среднесрочной перспективе инвесторы реагируют на утечки весьма чувствительно, и котировки акций, как правило, значительно падают. Так, в течение недели после утечки положение компаний усугублялось, и падение биржевых показателей в среднем превышало 5%. В дальнейшем «наследие утечки» постепенно нивелируется, и на первый план, как правило, выходят другие факторы формирования курса акций.
Эксперты InfoWatch пришли к выводу о том, что основными факторами, влияющими на сферу защиты информации в США и Евросоюзе, являются зрелость ИТ-рынка, многолетняя правоприменительная практика и низкая толерантность к нарушителям закона. На сегодняшний день, одним из главных драйверов финансового воздействия становится GDPR, нарушение положений которого грозит штрафом в размере до 4% годового оборота компании. В 2019 году общая сумма за нарушения в области GDPR составила около 481,5 млн долл., в том числе 391,4 млн долл.— штрафы за утечки. В Российской законодательной практике также происходят изменения в сторону ужесточения к требованиям защиты персональных данных. Во многом это связано c тем, что регуляторы стали более требовательно относиться к вопросам защиты персональных данных.
Источник: Пресс-служба компании InfoWatch