Роскомнадзор имеет полно право наказать онлайн-магазин Ozon, не предупредивший своих клиентов об утечке персональных данных. Такую точку зрения высказал эксперт в области защиты информации Александр Бражников.

Утечка в Ozon

Как передает «Интерфакс», около полугода назад в открытый доступ попали данные более 450 тысяч пользователей популярного онлайн-магазина Ozon. Скомпрометированными оказались адреса электронных почтовых ящиков и пароли к аккаунтам клиентов магазина, однако в самой компании не стали своевременно сообщать о проблеме.

Данной ситуацией заинтересовались в Роскомнадзоре: в ведомстве уже подготовили письмо в Ozon для получения разъяснений от компании по возникшей утечке. В пресс-службе регулятора подчеркивают, что действия компании в этой ситуации вызывают лишь обеспокоенность, поскольку руководство Ozon фактически поставило под угрозу безопасность всех пользователей интернет-магазина.

Как отметил в комментарии для «ПолитРоссии» председатель некоммерческого партнерства «Союз защитников информации» Александр Бражников, в данном случае надзорный орган выполняет свою работу и следит за тем, чтобы интернет-ресурсы выполняли свои обязательства в соответствии с российскими законами.

«Роскомнадзор берет на себя большую ответственность во всем, что касается защиты персональных данных пользователей. Ведомство пытается бороться со всеми интернет-компаниями, которые в том или ином виде ведут сбор информации своих клиентов. Все это полностью отвечает требованиям российского законодательства, которые, надо заметить, гораздо серьезнее, нежели во многих странах мирах», – объясняет эксперт. 

В Роскомнадзоре, к слову, уже пообещали внести изменения в текущее законодательство с целью обязать все ресурсы оперативно оповещать о произошедших утечках данных. Все правки будут вноситься с учетом положений обновленной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. В РКН подчеркивают, что такие меры расширят права пользователей на получение информации о несанкционированном доступе третьих лиц к их персональным данным.

Компании экономят на безопасности

На первый взгляд, может показаться, что ситуация с утечкой в Ozon не столь значительна. Интернет-магазин предпринял все необходимые меры, и на сегодняшний все слитые в Сеть пароли уже неактуальны. Более того, в компании изменили механизмы защиты данных, добавив в систему восстановления паролей дополнительное шифрование.

Тем не менее, как объясняют в Роскомнадзоре, все компании обязаны сообщать об утечках, потому что речь в таком случае идет о безопасности пользователей. В частности, в случае с Ozon, адрес электронной почты и пароль дают доступ к аккаунту клиента. А это значит, что взломщики могут несанкционированно получать информацию о пользователях и совершать от их имени различные действия. 

Александр Бражников поясняет, что произошедшее с Ozon – всего лишь частное проявление глобальной проблемы. Подавляющее большинство ресурсов по всему миру наплевательски относится к персональным данным своих пользователей

«Некоторые компании просто не уделяют должного внимания защите информации. В первую очередь это обусловлено тем, что это требует дополнительных расходов. Для этого нужны специальные защищенные серверы, квалифицированные сотрудники, которые отвечали бы за все это дело. Так что это недешевое удовольствие. И на сегодняшний день порядка 80 % интернет-ресурсов во всем мире не прикладывают серьезных усилий для предотвращения подобных утечек. И, конечно, когда подобное вскрывается, надзорные органы в лице того же РКН не могут бездействовать – они должны как минимум штрафовать компании за несоблюдение, по сути, базовых правил безопасности», – объясняет собеседник «ПолитРоссии».

По его словам, речь в данном случае идет не только о небольших ресурсах, но и о крупных кампаниях. Тот же Ozon является одним из из крупнейших российских интернет-ретейлеров, чей ассортимент насчитывает почти 5 млн наименований товаров. Но, как выяснилось, и такие большие компании попадаются на лжи.

«Подобная история недавно произошла и с Facebook, руководство которого тоже не спешило оповещать своих пользователей о том, что их данные были скомпрометированы. Если бы информация об этом инциденте не разошлась по СМИ, то они, вероятнее всего, так и не стали бы это признавать. Но, конечно, и Facebook тогда, и Ozon сейчас обязаны оповещать обо всех утечках. И речь даже не об информировании того же Роскомнадзора – в данном случае это вторично. В первую очередь, об утечках должны узнавать сами пользователи, которые имеют право знать о несанкционированном доступе к своим данным. В конце концов, от этого зависит доверие интернет-ресурсу», – резюмирует Александр Бражников.

Напомним, в 2018 году в коде мобильного приложения сети ресторанов быстрого питания Burger King были обнаружены строки, из которых следует, что программа на постоянной основе записывает все, что происходит на экране мобильного устройства пользователя. Таким образом, в поле действия программы попадали все действия, в том числе и связанные, например, с вводом данных банковской карты. В связи с этим представители Роскомнадзора потребовали от Burger King в срочном порядке ликвидировать утечки. 

Автор: Константин Липавский