Уж не о наших ли персональных данных идет речь?
Операторы не хотят серьезно тратиться на защиту персональных данных. Кто их может заставить?
В книге "The тёлки" Сергея Минаева я нашел удивительную по своей универсальности фразу: "Это смотря как себя позиционировать!" Действительно, позиционировав себя чуть иначе, можно получить совершенно иную картину мира. В деловой социально-информационном пространстве (сюда я отношу специализованные и новостные сайты, блогосферу, социальные сети) свою точку зрения по поводу защиты персональных данных активнее выражают операторы, обрабатывающие эти самые персональные данные, и профессиональные "оказыватели" услуг по защите персональных данных. И те, и другие преследуют свои бизнес-интересы. Что совершенно логично. Организации, работающие в сфере информационной безопасности и прямо или косвенно связанные с силовыми структурами, стремятся сохранить для себя рынок. Операторы теми же самыми правдами и неправдами пытаются избежать непрофильных издержек. Действительно, меры, принимаемые по защите данных, равно как и необходимость платить налоги и соблюдать правила технической, санитарной, экологической безопасности - все это с точки зрения бизнеса издержки, которые уменьшают чистую прибыль. И бизнес ищет законные и незаконные способы, как эти издержки минимизировать. Достаточно самых недавних примеров с отравлением русских туристов суррогатным алкоголем в Турции и гибель "Булгарии". Да и "Титаник" затонул чисто по экономическим причинам: стремясь сократить время в пути, руководство судоходной компании решило отправить корабль в Америку не обычным безопасным путем, а значительно севернее. Если очень грубо, то причиной перечисленных трагедий была жажда наживы. "Цивилизованный бизнес" - это не более, чем миф. Бизнес - не унтер-офицерская вдова, которая сама себя выпорола, а обычный живой организм, поэтому на дополнительные, не сулящие никакой прибыли издержки пойдет только тогда, когда будут долго бить этого будут требовать внешние, очень жесткие правила. Когда несоблюдение этих правил выйдет дороже, чем соответствие им.
Так вот, возвращаясь к нашим операторам и к позиционированию. Операторы не хотят серьезно тратиться на защиту персональных данных. Особенно, если под защитой подразумевается набор формальных, бессмысленных, дорогостоящих и несоответствующих реалиям сегодняшнего дня мероприятий. Поэтому операторы придумали очередной миф, согласно которому "оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования". Мифом это утверждение является потому, что предполагаемый ущерб - это очень и очень оценочное понятие. Субъект оценивает этот ущерб по-своему, оператор так же по-своему, государство - опять же по-своему. Оператор же при оценке ущерба будет исходить не только из тяжести ущерба, но и из вероятности, с которой это ущерб придется возмещать. В России строгость законов и разного рода правил с лихвой окупается избирательностью их применения. Это не циничность, а обычное управление рисками.
Если же говорить о репутационных рисках - это вообще отдельная песня. "Удар по репутации" болезенный только для долговременных компаний, для фирм-однодневок, организуемых под определенный проект - это вообще пустой звук. Были плохие отзывы о круизном судне "Украина"? Встречайте "Булгарию"! Да и кто формирует эти самые отзывы? Есть реклама, есть "псевдопользователи", которые под копирку плодят хвалебные отзывы. Есть, правда, и злокозненные конкуренты, которые также прибегают "черному пиару". Попробуйте поискать отзывы об отелях. Сможете с ходу отличить, где отзыв "реального" постояльца, а где черный или белый пиар? То-то!
Весточка с очередным примером очередной утечки данных на этот раз прилетела со скоростью SMS. Если вкратце, то "Яндекс" при определенном запросе стал выводить номера телефонов и тексты SMS, отправленных абонентам московского Мегафона с сайта оператора. Размер ущерба, и с точки зрения абонентов, и с точки зрения оператора, совершенно различен. Для кого-то из абонентов это досадная мелочь, кто-то, может быть, "спалился" на адюльтере. Но и те и другие могут в будущем стать жертвами разного рода мошенников. Оператор, пока свое веское слово не сказал Росмониторинг, и пока не начали поступать иски от абонентов, также не считает ущерб значительным. В пресс-службе сотового оператора подчеркнули, что "сбой не затронул SMS-сообщения клиентов, отправленные через телефоны и другие мобильные устройства. Для сравнения: проблема коснулась порядка 8000 сообщений, - при этом каждый час через сеть "МегаФона" проходит порядка 2 миллионов SMS-сообщений, и все они надежно защищены". Эксперт в области телекоммуникационного права Антон Богатов считает, что «МегаФону» не грозят претензии: «Судя по актуальной судебной практике в области персональных данных, оператора не ждут никакие последствия. Если конкретный абонент сможет доказать, что ему был причинен ущерб, то он, возможно, получит компенсацию, однако такие случаи, скорее всего, будут единичны». По словам юриста, хотя налицо нарушение закона о связи в части распространения конфиденциальной информации, «МегаФону» грозит только общественное порицание, резюмирует г-н Богатов. Вряд ли кто-то из абоненетов сменит оператора только из-за того, что его SMS могла оказаться числе "засвеченных". Да если и решится, то таковых наберутся считанные единицы.
Если позиционировать себя субъект персональных данных, то понятно, что надеяться на сознательность и "цивилизованность" оператора не имеет никакого смысла. Должны быть установлены четкие правила, мало зависящие от операторского произвола, и должен быть от государства приставлен бдительный страж, который бы наказывал операторов так жестко и так не избирательно, что соблюдение правил вошло бы в привычку. Ну, как в той шутке про зайца, которого можно запросто научить зажигать спички если долго бить путем длительных и изнурительных тренировок. Только вот как и кем устанавливаются эти правила, насколько всепроникающим будет контроль и неизбежно наказание - это отдельная, сугубо национальная песня.
Комментарии 4
Про г) и д) - не скажу, не знаком со спецификой.
Для а) б) и в) нужна либо массированная атака в СМИ (не единичная акция), либо публичное посыпание головы пеплом без каких-либо конструктивных ноток. Во всех прочих случаях существенных последствий не будет.