Депутаты Госдумы РФ выступили с предложением по ужесточению наказания за разглашение персональных данных. Данная инициатива актуальна в связи с продолжающимися утечками массивов информации из крупных компаний.

О том, как корпоративная социальная ответственность (КСО) способствует отсутствию утечек и почему защита данных в «Роснефти» никогда не давала сбоев, – в материале РАПСИ. 


Аналитики еще в 2015 году обнаружили тенденцию по увеличению числа утечек конфиденциальной информации из российских компаний. К 2019 коду количество подобных случаев составило 395 в год, а страна заняла второе место в мире по распространенности такого рода махинаций, следует из исследования InfoWatch. 

Однако в мировом рейтинге доля российских утечек составляет только 15,7%. А часть скомпрометированных данных, которая пришлась на компании или государственные организации, не превышает 1,1% от совокупного объема информации, подвергшейся угрозе во всех странах за отчетный период. 


Справка: 

Согласно закону «О персональных данных», любое физическое или юридическое лицо, осуществляющее обработку персональных данных, является оператором персональных данных.


При этом необходимо учитывать, что особенность статистики по персональным данным заключается в том, что число инцидентов не отражает масштаба последствий, где за одной базой данных стоит информация о тысячах пользователей, клиентов, сотрудников и т.д. Так, в 2019 году более 90 миллионов записей о юридических и физических лицах оказались в открытом доступе из-за ошибки в настройках сервера оператора фискальных данных «Дримкас».

Со спекуляциями на персональных данных со стороны кибермошенников или сотрудников сталкивались и более известные компании, среди которых – «Альфа-банк», «Сбербанк», «Билайн», РЖД и т.д. Особенно любопытно то, что каждая из этих компаний действует в соответствии с законом «О персональных данных», публикуя политику по работе с личной информацией. 

В то же время результаты проведенного РАПСИ анализа показывают, что в большинстве случаев позиция в области защиты конфиденциальной информации представляет собой формальный документ, стандартизированный по специфике деятельности организации. 


Александр Зорин, адвокат, к.ю.н.: 

«Фиксация позиции относительно персональных данных является обязанностью, закрепленной в части 1 статьи 18.1 федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», согласно которой оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим законом и принятыми в соответствии с ним нормативными правовыми актами. 

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним нормативными правовыми актами».


Становится очевидно, что особая ответственность за безопасность больших массивов персональных данных возлагается именно на крупный бизнес, имеющий широкую клиентскую и партнерскую базу. 

Право: внутри и снаружи 

Серьезное отношение к информации и наличие публичной позиции компании по работе с персональными данными можно рассматривать как один из элементов корпоративной социальной ответственности (КСО). Данная стратегия – это инструмент достижения устойчивого развития, обеспечивающего удовлетворение потребностей нынешнего поколения без ущерба для потомков. 

О важности распространения стратегии КСО на все российское предпринимательство можно судить, исходя из активной стимуляции крупных компаний, а вместе с ними и малого бизнеса, на демонстрацию высоких показателей в области устойчивого развития по итогам независимой экспертной оценки. Ведь очевидно, что популяризация ответственного отношения к сотрудникам, населению и праву способствовала бы в том числе ликвидации такой проблемы как утечка персональных данных. 

По данным исследования Российского союза промышленников и предпринимателей (РСПП), лидером в области применения КСО является ПАО «НК» Роснефть». А отсутствие ее среди организаций, внутренняя информация которых когда-либо оказывалась под угрозой публикации или была обнародована, только подтверждает лидерские позиции компании в плане ответственности. 

Безусловно, такому результату способствует опыт «Роснефти», который она извлекла из кибератаки 2017 года. Хоть данный инцидент и не повлиял на добычу и подготовку нефти компанией в тот период (следует из официального аккаунта НК в Twitter), это стало катализатором для заметных внутренних изменений по совершенствованию системы безопасности. 

Во-первых, в тот же год была одобрена стратегия «Роснефть-2022», ориентированная на качественное изменение бизнеса компании за счет внедрения новейших управленческих подходов и повышения отдачи существующих активов. Во-вторых, приоритетным направлением для НК стало импортозамещение ПО, способствовавшее появлению целого ряда профильных компьютерных программ. 

Как отмечает аналитик InfoWatch Сергей Хайрук, в большинстве случаев ответственность за утечки персональных данных несут представители топ-менеджмента компаний или другие привилегированные пользователи, имеющие расширенный доступ к внутренним базам. 

В этой связи инициатива «Роснефти» по интеграции в систему менеджмента более прогрессивных подходов можно воспринимать как один из способов исключить вероятность «сливов». Основу же для таких изменений составляют внутренние регуляторы, в которых корпоративная культура позиционируется как «неотъемлемый компонент успешной стратегии развития». 

Базовые понятия корпоративной этики задокументированы в виде соответствующего Кодекса, базирующегося на лучших международных практиках. Его целью является формулирование и внедрение в корпоративную среду принципов и норм, направленных на разрешение нравственно-этических проблем и спорных ситуаций.

Не являясь по своей юридической сути правовым актом, внутренний этический кодекс работает не менее эффективно как инструмент по предотвращению споров, а также злоупотреблений должностным положением со стороны сотрудников. 

Кроме того, внимания заслуживает и наличие у компании публичной позиции в области обработки персональных данных. Изучив такие же документы у ряда других крупных организаций и сравнив их, можно сделать вывод о том, что документ «Роснефти» содержит ряд принципиальных отличий. Так, используемые формулировки не просто стандартизированы, а максимально уточнены и не содержат двусмысленности. 

К примеру, среди аргументации в пользу необходимости обработки персональных данных – «предоставление работникам оператора и членам их семей дополнительных гарантий и компенсаций, льгот, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения». 

Помимо этого, документ разъясняет цели обработки персональных данных НК, в то время как другие компании предлагают пользователям отдельно запрашивать такую информацию. 

Опираясь на опыт представителя крупного бизнеса, ни разу не замеченного в инцидентах с «утечками», можно сделать вывод, что главным инструментом защиты является комплексный подход, и как следствие не только обеспечение технической безопасности, но и организация благоприятного корпоративного климата. Статистика демонстрирует, что главная угроза по-прежнему сосредотачивается внутри компаний, в связи с чем первой ступенью в ее устранении является прогрессивный управленческий подход.