В 2020 году лидерами по числу штрафов стали США и Сингапур - на них пришлись, соответственно, 28 и 23 финансовых взыскания. В первую пятерку стран по количеству назначенных взысканий также вошли Румыния (11 штрафов), Италия (9 штрафов) и Соединенное Королевство Великобритании и Северной Ирландии (5 штрафов). Как и годом ранее, США заняли первое место среди стран по размеру среднего штрафа. Его сумма в 2020 году составила $13 млн.
Число штрафов, вынесенных регуляторами стран Евросоюза за утечки, составило 35,6% от всех штрафов, но средний штраф здесь составил только $93 тыс.
В России за исследуемый период в открытых источниках обнаружены сообщения о 4 штрафах за утечки персональных данных на общую сумму 510,5 тысяч рублей. Таким образом, по сравнению с 2019 годом, когда было выявлено 6 назначенных штрафов на общую сумму 180,5 тысяч рублей, в 2020 году сумма штрафов выросла в 2,83 раза. Средняя сумма штрафа составила 127,6 тыс. рублей.
В 2020 году российские суды вынесли решения о назначении штрафов по делам, возбужденным в отношении таких организаций, как одно из коллекторских агентств в Новосибирской области, ООО «Национальная служба взыскания», Центр немецкого языка при Волгоградском социально-педагогическом университете, а также Центральная районная больница города Николаевск-на-Амуре.
«Данное исследование проводилось в двух срезах, где первая часть – это подсчет фактического количества штрафов и компенсаций, назначенных регуляторами за утечки конфиденциальной информации, в том числе персональных данных. Вторая часть - поиск связи между финансовым состоянием организации, стоимостью её активов и официальными сообщениями об утечках. Совершенно очевидно, что для публичной компании как сам факт утечки, так и информация о ее масштабе, ставшие достоянием общественности, чреваты потерями на бирже. По нашим наблюдениям, после утечки компании в среднем в первые часы после объявления об инциденте падение выглядит небольшим, в пределах 1%, но нельзя забывать, что за этой цифрой для крупной компании стоит потеря многих десятков, а то и сотен миллионов долларов. Немаловажным фактором, влияющим на возможность нивелирования репутационных рисков и стабилизацию стоимости акций, является поведение самой компании после утечки, прозрачность мероприятий для ликвидации последствий инцидента», - отмечает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.
В отраслевом распределении 50% мировых штрафов пришлись на хайтек-компании, здравоохранение и ритейл. Наибольшее падение биржевых показателей сразу после утечек отмечено среди компаний сегментов «Ритейл&HoReCa», а также «Высокие технологии» (хайтек - телеком, ИТ) – на 2,29% и 2,02% соответственно. Наименее восприимчива к утечкам сфера промышленности и транспорта – здесь даже после инцидента, связанного с компрометацией данных, курс акций в среднем подрастал на 0,56%. Относительно устойчивой также можно признать финансовую сферу, потери участников которой в первые часы после утечки оказались довольно невелики – менее четверти процента.
На сегодня можно достаточно уверенно говорить о том, что утечка оказывает сильное влияние на уровень капитализации компании в краткосрочной перспективе, то есть в первые дни после сообщения об инциденте. В дальнейшем на формирование курса акций влияют другие факторы.
Авторы отчета пришли к выводу, что регуляторы стран ЕС, опираясь на положения вступившего в силу в 2018 году регламента GDPR, в 2020 году продолжили методично штрафовать компании, допустившие утечки. При этом в Евросоюзе в период пандемии практически нет крупных штрафов за утечки. Скорее всего, в ближайшее время мега-штрафы (в размере десятков и сотен миллионов долларов) в основном будут выписываться регуляторами США и только за резонансные утечки, то есть те, при которых могут быть потеряны миллионы записей пользовательских данных. При этом отягчающими факторами будут выступать длительное сокрытие фактов утечек и недостаточное внимание компаний к контуру кибербезопасности.
В 2021 году, прежде всего, стоит ожидать расширения географии штрафов за утечки по причине того, что регуляторы в сфере защиты информации во многих странах постепенно совершенствуют законодательство, исходя из новых реалий, и встают на путь методичной защиты пользовательских данных как основного компонента цифровой личности.
В России следует ожидать появления штрафов, связанных с обеспечением безопасности значимых объектов критической информационной инфраструктуры (не утечки).