Согласно опросу ВЦИОМ, порядка 90% россиян считают, что в настоящее время против России ведется информационная война. При этом в новостном поле все чаще появляются сообщения о кибератаках на правительственные сайты и ресурсы государственных корпораций. А хакерская группировка "Anonymous" и вовсе открыто заявила, что находится в состоянии кибервойны против России. В этой ситуации новые правовые стандарты информационной безопасности по силам задать представителям крупных компаний.
Об увеличении количества компьютерных атак на российские информационные ресурсы в последнее время говорят часто. Возросшую киберугрозу подтвердил и недавно созданный Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Специалисты центра порекомендовали российским организациям усилить бдительность при мониторинге вредоносной активности, направленной на объекты, находящиеся в зоне их ответственности, организовать процесс приоритетной обработки информации об аномалиях, обнаруживаемых в работе. А в случае выявления признаков целенаправленных компьютерных атак незамедлительно информировать НКЦКИ для своевременной выработки мер противодействия.
"Атаки могут быть направлены на нарушение функционирования важных информационных ресурсов и сервисов, нанесение репутационного ущерба, в том числе в политических целях. Кроме того, в дальнейшем возможно проведение вредоносных воздействий из российского информационного пространства для формирования негативного образа Российской Федерации в глазах мирового сообщества", - сообщили в НКЦКИ.
Однако предостережения смогли уберечь не все российские организации. Так, DDoS-атаке подвергся сайт телеканала "Russia Today" на русском языке, сайт госкорпорации "Роскосмос" также стал целью для хакеров, об атаке на свой портал заявляли представители "РЖД", о массированных DDoS-атаках сообщала также пресс-служба партии "Единая Россия".
Такая уязвимость перед атаками извне не случайна и обусловлена не только повышенным вниманием со стороны злоумышленников, но и неподготовленностью самих компаний. В частности, специалисты компании "СёрчИнформ" считают, что оснащенность российских компаний защитным программным обеспечением не соответствует уровню существующих угроз информационной безопасности. По данным исследования, которое компания проводила в конце 2021 года, даже встроенные в операционные системы инструменты безопасности используются не везде.
При этом основным мотивом к внедрению ПО для информационной безопасности респонденты из коммерческого сектора называют реальные потребности бизнеса (70%). На втором месте – требования регуляторов (32%). В госсекторе картина противоположная: там 71% компаний вкладываются в информационную безопасность для соблюдения нормативов и только 31,5% ощущают реальную потребность в защите данных. При этом компании чаще всего тратят бюджеты на продление лицензионных ключей на защитные решения и техподдержку (86% опрошенных). О закупке нового оборудования и ПО говорили немногим больше половины опрошенных (53%).
"В нынешней ситуации перед организациями встает вопрос усиления защиты. Но в течение последних трех лет мы видим, что только четверть российских компаний увеличивают расходы на информационную безопасность. В 62% компаний бюджет остается без изменений, и тратят его на продление лицензионных ключей и техподдержку, тогда как сейчас необходимы новые закупки и масштабирование уже внедренного ПО", - комментирует ситуацию Алексей Парфентьев, руководитель отдела аналитики "СёрчИнформ".
В то же время, проблема утечки персональных данных в последнее время становится все актуальнее. Так, в 2019 году крупная утечка данных произошла в "Сбербанке" - в Сети оказались данные по кредитным картам клиентов организации. В 2020 году в Сеть попали 100 тыс. записей с данными переболевших коронавирусом москвичей.
В году текущем громкая история потери данных тоже имела место быть – были утеряны персональные данные клиентов сервиса доставки "Яндекс.Еда". Несмотря на то, что компания в своем заявлении пыталась оправдаться, обвинив в утечке недобросовестного сотрудника, некоторые клиенты сервиса обратились с исками в суд. Так, в Замоскворецком районном суде было зарегистрировано уже два: групповой и одиночный. В них выставлены аналогичные требования — компенсация в размере 100 тыс. рублей на каждого пользователя.
При этом судебная практика по вопросу утечки персональных данных весьма неоднозначна. Обусловлено это тем, что суду нужно доказать не только убытки от утечки, но еще и обосновать их размер, что в совокупности сделать совсем не просто. В тоже время ответчик, выстраивая линию защиты, как правило, обращает внимание суда на то, что прямой причинно-следственной связи между утечкой и убытками нет. Именно из-за отсутствия прямой связи суд может не принять во внимание доводы истца. В этой связи единственный реальный способ получить компенсацию — это обращаться в суд за возмещением морального вреда.
"Из судебной практики вспоминается история из 2016 года, когда Мосгорсуд назначил компенсацию в размере 1 тыс. рублей за распространенное фото в купальнике с оскорбительными комментариями. А в 2019-м та же тысяча рублей была присуждена в результате звонков с требованием об оплате несуществующей задолженности", - комментирует возможные размеры компенсаций эксперт Максим Али из "Maxima Legal".
Безусловно, такие незначительные суммы компенсаций и сложность доказательного процесса не стимулируют граждан обращаться в суд в случае утечки их персональных данных. В свою очередь, данный факт не позволяет сформировать единую судебную практику по подобным делам. В то же время очевидна и необходимость увеличения порога минимальных взыскиваемых компенсаций, чтобы они были ощутимы для бизнеса, допустившего утечку. Бизнесу же стоит повышать уровень информационной безопасности внутренними мерами. Ведь репутационные потери, которые компании несут при утечке данных, не сравнятся по своей разрушительности со взыскиваемыми компенсациями.