Игорь Баранов, адвокат и эксперт Национального антикоррупционного комитета, прокомментировал для CISOCLUB причины роста объёма утечек персональных данных в России. По его словам, значительная часть проблем связана не только с кибератаками, но и с особенностями самой модели обращения с данными.
«Количество украденных записей персональных данных в России, является серьезным побочным эффектом цифровизации. Очевидно, что принимаемые меры по защите данных являются недостаточными», — заявил Игорь Баранов.
Эксперт отметил, что уязвимость формируется не только в уровне информационной безопасности компаний, но и на этапе передачи данных третьим лицам. По его оценке, существующая практика сбора и распространения персональных данных имеет системные недостатки, особенно в финансовом секторе.
«Очевидно, что в нашей стране модель сбора и передачи персональных данных имеет серьезные недостатки, особенно в финансовой сфере», — подчеркнул он.
Игорь Баранов обратил внимание на механизм получения согласий от клиентов банков. По его словам, такие согласия часто предоставляются формально добровольными, но фактически могут быть навязаны условиями обслуживания.
«Не секрет, что в последние годы банки в массовом порядке запрашивают согласие клиента на передачу его данных третьим лицам, и нередко клиенты вынуждены давать это согласие под угрозой отказа в обслуживании», — отметил эксперт.
Он указал, что после получения согласия данные передаются партнёрам, уровень защиты у которых остается непрозрачным. По его мнению, такая практика превращает механизм согласия в инструмент неконтролируемого распространения персональных данных.
«По сути, механизм «согласий» на передачу данных является легальным средством распространения данных клиентов банков практически без контроля государства и самих граждан», — заявил Игорь Баранов.
Эксперт также отметил проблему сроков хранения и передачи данных. По его словам, согласия могут действовать десятилетиями, даже если человек уже не является клиентом организации, что указывает на пробелы в регулировании.
«Также стоит отметить, что согласия на передачу данных в банках выдаются на 25 лет», — подчеркнул он.
По мнению Игоря Баранова, необходимо пересматривать подход к регулированию передачи персональных данных, ограничивать сроки их использования и ужесточать контроль за кругом получателей.
«Необходимо установить срок действия согласия на передачу данных хотя бы в пределах срока обслуживания клиента», — отметил эксперт.
В завершение он заявил, что утечки происходят не только из-за взломов, но и в результате передачи данных сторонним организациям, которые не обеспечивают должный уровень защиты.
«Подводя итоги, отмечу, что утечки данных происходят не только в результате взломов, хакерских атак но и при их передаче непонятным партнёрам операторов данных», — заключил Игорь Баранов.