Американские провайдеры заплатят $10 млн за хранение в открытом доступе пользовательских данных

B2BSecurity Маркет
Данные более 300 тыс. пользователей хранились в открытом доступе по вине подрядчика. Американские провайдеры TerraCom Wireless и YourTel Wireless, доверившие некомпетентной компании управление конфиденциальной информацией своих клиентов, заплатят $10 млн штрафа.

Федеральное агентство связи (FCC) США провело расследование в отношении двух телекоммуникационных провайдеров, обвинив их в некомпетентности, которая привела к хранению в открытом доступе конфиденциальной информации более 300 тыс. пользователей.

TerraCom Wireless и YourTel Wireless – провайдеры мобильной связи, управляемые одной командой и имеющие общих акционеров. В рамках подключения к своим услугам, помимо основных данных, компании собирали информацию, подтверждающую доходы отдельных категорий клиентов, факт участия в различных государственных программах помощи, а также номера страховок, водительских прав и множество других документов. Пользователи оповещались о том, что вся информация надежно защищена.

Управление данными осуществлял подрядчик, использовавший для их хранения незащищенные сервера. Кроме того, документы не шифровались и были доступны в обычном читабельном формате и в виде изображений, которые мог просматривать любой пользователь интернета. Данные были обнаружены журналистом Scripps Howard News Service, который получил к ним доступ по URL через обычный поисковый запрос в Google. Расследование инцидента привело к наложению штрафа на TerraCom и YourTel в размере $10 млн.

По мнению экспертов, российское законодательство в плане размера штрафных санкций крайне неэффективно по сравнению с вышеприведенным примером. Комментирует менеджер по развитию бизнеса «Лаборатории Касперского» Кирилл Керценбаум: «Российский закон «О персональных данных» предусматривает штрафы как для физических, так и для юридических лиц в случае нарушения приватности персональных данных сотрудников, клиентов и прочих групп лиц. На данный момент в России фактически это единственный нормативный акт, предусматривающий финансовые санкции для компаний, пренебрегающих достаточным уровнем эффективности защиты данных. Однако предусмотренные ФЗ-152 штрафные санкции очень символичны, суммы исчисляются максимум десятками тысяч рублей. При этом прецедентов, когда уполномоченный контролирующий орган, Роскомнадзор, ежегодно применяет взыскания на тысячи компаний и должностных лиц, достаточно много. В ближайшее время планируется почти 100-кратное увеличение размера штрафа, что должно сподвигнуть компании улучшить защиту персональных данных».

Дмитрий Дудко, руководитель проектов по информационной безопасности компании «АйТи», согласен, что на данный момент размер штрафов за аналогичные нарушения в России незначительный, а процедура взыскания очень длительная и малопродуктивная. «Регуляторы предпочитают идти путем предписаний на устранение нарушений», – комментирует эксперт.

Короткая ссылка на материал: //cnews.ru/link/n217386
ИСТОРИЯ УСПЕХА
Контроль и защита всей IT-инфраструктуры
Защита СХД: варианты и реальные примеры решений
Подробнее
ИНТЕРВЬЮ С ЭКСПЕРТОМ
Матвей Войтов
менеджер по продуктам «Лаборатории Касперского»

ИБ должна присутствовать среди расходов на виртуализацию.

читать далее
Все интервью
MНЕНИЕ Константин Воронков Руководитель отдела Endpoint «Лаборатории Касперского» Клиенты могут получать необходимые лицензии практически мгновенно Ожидается, что на общественное обсуждение в Госдуме будет вынесен законопроект, согласно которому обеспечение безопасного доступа пользователей в сеть ляжет на плечи интернет-провайдеров, операторов связи, хостинг-провайдеров и владельцев интернет-сайтов. Ранее же данное условие не носило обязательный характер для частных компаний, а теперь от сервис-провайдеров потребуются принять дополнительные меры в рамках установки антивирусного ПО — вопрос с покупкой лицензий становится для него как никогда актуальным.