- Зампред ЦБ предложил усилить ответственность за утечку данных — вплоть до уголовной
- Изменения могут коснуться не только банков
- Участившиеся утечки данных показали, что банки недооценили значение «человеческого фактора»
ЦБ предлагает ужесточить наказание за утечку персональных данных вплоть до уголовной ответственности, заявил зампред ЦБ Дмитрий Скобелкин на Уральском форуме информационной безопасности финансовой сферы.
Детали. Скобелкин заявил, что нужно внести изменения в закон о персональных данных. ЦБ направил свои предложения по решению проблемы утечек данных в Совет безопасности РФ, а также призвал Минкомсвязь и Роскомнадзор бороться против утечек данных, уточнил зампред ЦБ.
Уголовная ответственность может быть введена для лиц, допустивших утечку персональных данных. В качестве примера Скобелкин привел данные с ксерокопии паспорта, которую зачастую без согласия клиента делают сотрудники организаций — например, в салонах сотовой связи. «Что с этими данными потом происходит, куда они девались, как они используются — никому непонятно», — подчеркнул он.
Скобелкин также отметил, что для компаний должна быть повышена административная ответственность (для юридических лиц законодательство не предусматривает уголовные наказания). По его словам, обсуждаются разные варианты усиления ответственности. «Проблему обеспечения безопасности данных только надзорными методами решить невозможно», — заявил он.
Какое наказание сейчас. Согласно закону о персональных данных (он распространяется не только на банки), невыполнение требований по обработке информации, в результате которого произошла утечка, наказывается штрафами. Штрафы для граждан составляют 4-10 тыс. рублей, для компаний – 25-50 тыс. рублей.
Чем опасна утечка персональных данных. Сведения, которые есть в ксерокопии паспорта, могут использовать мошенники, применяющие методы социальной инженерии (например, звонок под видом сотрудника банка), рассказывает заместитель руководителя НСФР Александр Наумов. С их помощью мошенники могут получить дополнительные сведения, составляющие банковскую тайну, чтобы затем вывести со счета в банке средства.
Кроме того, мошенники могут с помощью паспортных данных входить в цифровые государственные системы – например, на сайт госуслуг. В некоторых системах пользователю может потребоваться номер паспорта, объясняет Наумов.
Также пока нельзя говорить о стопроцентной неуязвимости Единой биометрической системы (ЕБС), которая позволяет клиентам удаленно оформлять кредиты и открывать счета – учитывая сложность биометрических параметров и малую историю их использования, подчеркивает Наумов. «Наличие персональных данных физического лица у мошенников и вероятная уязвимость подобных электронных систем позволяют осуществлять различного рода мошеннические действия», — говорит он.
Оценка экспертов предложения ЦБ. Усиление ответственности за незаконное разглашение и распространение персональных данных — это правильная идея, считает Наумов. При этом он отмечает, что данные россиян собирают не только банки, а например сотрудники госорганов и сотовых компаний. Поэтому ужесточать ответственность за утечки нужно не только для банков.
Ответственность за разглашение персональных данных банковских клиентов уже существует, однако утечки это не останавливает, говорит зампред правления Ренессанс-Кредит Сергей Королев. При этом он отмечает, что утечки из банков – это единичные случаи, поскольку банки сами не заинтересованы в нарушении банковской тайны. Усиливать ответственность стоит для сотрудников других организаций, считает Королев.
Зачем вам об этом знать. Крупные утечки из банков в прошлом году показали, что банки, усилив IT-системы безопасности, не учли влияние «человеческого фактора». Зампред правления Сбербанка Станислав Кузнецов на форуме в Давосе признавал, что банк недооценил «риски внутреннего предательства».
