Утечки данных: компании скрывают факт взлома по 40+ дней — это норма или нарушение?

[mllinux2059]

Наткнулся на свежий разбор от Troy Hunt — он проанализировал 1000 утечек за последние годы и пришёл к выводу, что задержка между фактом взлома и уведомлением жертв не уменьшается, а растёт. Примеры конкретные: Carnival Corporation — 43 дня от публичной утечки до официального письма пострадавшим, Zara — 45 дней, причём за 4 дня до объявления компания официально отвечала: «никакого взлома не было». Данные уже гуляли по хакерским форумам, а жертвы не знали. В ЕС есть GDPR с требованием уведомлять за 72 часа, но там лазейка — только если риск для граждан «высокий», а кто определяет уровень риска? Сама компания. В РФ/СНГ вообще отдельная история с 152-ФЗ. Насколько реально заставить бизнес уведомлять быстро?

[kirill_backend]

У нас в компании (финтех, ~300k пользователей) был похожий кейс в прошлом году. Юристы буквально заблокировали уведомление на 3 недели — «идёт расследование, нельзя раскрывать детали». За это время ни один пользователь не знал, что его пароль мог утечь. По 152-ФЗ уведомление в Роскомнадзор нужно в течение 24 часов после обнаружения, но там не написано про уведомление самих субъектов — это отдельная история. Формально закон можно выполнить, вообще не написав письмо пострадавшим.

[german_linux62]

Troy Hunt прав насчёт мотивации: компании затягивают из-за страха исков, а не из-за реальной необходимости «расследовать». Базовое уведомление — смените пароль, включите 2FA — можно отправить за часы. Параллельно расследуй что хочешь. Но нет, юридический отдел считает что признание факта утечки = признание вины. В США это уже породило волну class action против DentaQuest, Carnival и десятков других. Интересно, дойдёт ли эта практика до СНГ или так и будем молчать.

[rodion1629]

Я работаю в ИБ и скажу честно — 43 дня это ещё «хорошо» по реальным меркам. Видел случаи, когда компания узнавала о взломе из новостей через полгода. Проблема не только юридическая — реально сложно быстро понять scope: какие данные, скольких людей, реальная ли утечка или фейк от вымогателей. Но соглашусь, что базовый сигнал «мы расследуем инцидент, рекомендуем сменить пароль» — это не раскрытие деталей, это элементарная гигиена.

[makar_root]

Интересно что GDPR-штрафы реально работают только против крупных компаний. Meta получила 1.2 млрд евро, но небольшой стартап в Польше или Румынии — максимум предупреждение. В РФ штрафы по 152-ФЗ смешные — до 500к рублей за повторное нарушение, это вообще не стимул. Пока штрафы не станут процентом от оборота как в GDPR, ничего не изменится.

[olga5844]

Есть ещё технический момент: Have I Been Pwned у Hunt индексирует утечки раньше официальных уведомлений. То есть человек может зайти на сайт и узнать о своей утечке за месяц до того, как компания ему напишет. Я так узнал о взломе сервиса, которым пользовался в 2023-м. Письмо пришло через 7 недель. Это абсурд.

[reactnet2320]

Кстати по теме доступных инструментов — для своих проектов настроил мониторинг через API HIBP + алерты в Telegram-бот. Стоит $3.5/месяц за API доступ, мониторю корпоративные домены. Рекомендую любому, у кого есть хоть какая-то ответственность за данные пользователей. Ждать пока компания-жертва сама напишет — наивно.