Спецпроекты

Безопасность Госрегулирование Стратегия безопасности Бизнес Финансовые результаты

Infowatch: количество штрафов за утечки ПД и платежной информации увеличилось на 90%

Экспертно-аналитический центр Infowatch провел исследование финансовых последствий инцидентов, связанных с утечкой пользовательских данных. В отчете представлен анализ штрафных санкций и решений о компенсациях, связанных с утечкой персональных данных и платежной информации из государственного сектора и коммерческих компаний в глобальном масштабе. Также аналитики провели небольшое исследование того, как крупные утечки персональных данных отражаются на курсе акций публичных компаний.

За 2019 г. количество штрафов и решений по выплате компенсаций, которые государственные регуляторы вынесли в отношении различных компаний, увеличилось почти на 90%: с 57 до 108 инцидентов. Общая сумма штрафов и компенсационных выплат выросла в 19,4 раза и составила $6,224 млрд ($320 млн в 2018 г.).

Треть выявленных штрафов пришлось на Евросоюз – в общей сложности 36 финансовых наказаний. Стоит отметить, что 28 из них, то есть 76%, вынесены в соответствии с требованиями общеевропейского регламента по защите информации GDPR.

Мировыми лидерами по числу штрафов стали США (26,8%), Сингапур (25,9%) и Великобритания (6,5%). Наибольшие доли штрафов пришлись на такие вертикали, как здравоохранение, хайтек и ритейл.

В России на основе публичных источников зафиксировано шесть штрафов за утечки персональных данных. Это всего 2,8% от общего числа вынесенных Роскомнадзором штрафов за различные нарушения в области защиты информации. Сумма выявленных аналитиками штрафов за утечки в России составила 180,5 тыс. руб. или 16,4% от общей суммы штрафов за нарушения законодательства о защите персональных данных.

В 2019 г. средняя сумма взыскания за утечку данных в России составила всего чуть больше 30 тыс. руб. (по средневзвешенному курсу $465). В то же время в Великобритании она оказалась выше в 107 раз и составила $50,6 млн.

«В отличие от США и Евросоюза, российское законодательство в области защиты персональных данных пока достаточно мягкое, но положение начинает меняться. Например, уже ужесточена ответственность за невыполнение требований о хранении персданных на территории России. Не стоит широко копировать западные подходы, тем более, пока сфера корпоративной информационной безопасности в России относительно молодая и испытывает серьезную нехватку кадров, методик защиты информации и опыта использования современных технических решений. Но опыт зарубежных информационных регуляторов необходимо изучать, критически переосмысливать и правильно адаптировать под отечественную почву», – сказал руководитель направления аналитики и спецпроектов ГК Infowatch Андрей Арсентьев.

Проведенное аналитиками Infowatch исследование также позволило проследить влияние выявленных утечек на курс акций публичных компаний. В выборку были включены 20 утечек, зарегистрированных в крупных компаниях, представленных на бирже, и прослежена динамика курса акций за определенные промежутки времени. Выяснилось, что в краткосрочной и среднесрочной перспективе инвесторы реагируют на утечки весьма чувствительно, и котировки акций, как правило, значительно падают. Так, в течение недели после утечки положение компаний усугублялось, и падение биржевых показателей в среднем превышало 5%. В дальнейшем «наследие утечки» постепенно нивелируется, и на первый план, как правило, выходят другие факторы формирования курса акций.

Эксперты Infowatch пришли к выводу о том, что основными факторами, влияющими на сферу защиты информации в США и Евросоюзе, являются зрелость ИТ-рынка, многолетняя правоприменительная практика и низкая толерантность к нарушителям закона. На сегодняшний день одним из главных драйверов финансового воздействия становится GDPR, нарушение положений которого грозит штрафом в размере до 4% годового оборота компании. В 2019 г. общая сумма за нарушения в области GDPR составила около $481,5 млн, в том числе $391,4 млн – штрафы за утечки. В российской законодательной практике также происходят изменения в сторону ужесточения к требованиям защиты персональных данных. Во многом это связано c тем, что регуляторы стали более требовательно относиться к вопросам защиты персональных данных.

Короткая ссылка