Напомню, что согласно 152-ФЗ ст.18.1 Оператор ПДн обязан принимать меры, в частности: "оценить вред, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ". Причем именно вред Субъекту ПДн, а не Оператору.
Мне было интересно посмотреть, какой вред может быть причинен субъекту ПДн, если его ПДн утекли. Далее будет ОЧЕНЬ МНОГО ДОПУЩЕНИЙ, но целью является определить хотя бы порядок величины вреда и отразить его в числовой (денежной) форме. Суть в получении ПРИБЛИЗИТЕЛЬНОГО, простого в расчете, но БЛИЗКОГО к РЕАЛЬНОМУ значению..
Для оценки вреда субъекту ПДн пойдем от следующей идеи, ключевого вопроса: "А вообще, что могут сделать с ПДн субъекта в случае их получения?". Наметил 4 основных направления:
- Переманивание клиента. Если это ПДн клиентов, то их могут использовать для "переманивая" к конкуренту. Например, если я оформил страховку в одной компании, то могут мне звонить из другой и предложить условия лучше. С точки зрения субъекта ПДн это может быть даже хорошо, итоговый ущерб субъекту ПДн низкий, ориентировочно равен 0 рублей если услуги и цены лучше, то субъект может быть в "плюсе", но его "отвлекают" спам-звонками и вообще не приятно, что его ПДн у кого-то еще есть).
- СПАМ. Нежелательная реклама товаров и услуг. Например, сейчас стали все чаще слать смс-рекламу от компаний, на которые не подписывался, видимо берут мой номер из каких-либо баз. Итоговый ущерб субъекту - низкий, ориентировочно равен 0 рублей Да, СПАМ отвлекает, но он приходит не так часто, да и можно отключить у сотового оператора при небольших трудозатратах. Обратите внимание, что СПАМ может быть и таргетированным, например, субъект покупает машину, а ему еще предлагают страховку.
- Публикация ПДн в открытом доступе. Вот это уже чуть более неприятно для субъектов ПДн, но с учетом существующей судебной практики (например, известной утечки смсок у Мегафона), можем с большой долей вероятности, утверждать, что субъект ПДн НЕ ПОЛУЧИТ компенсацию вреда (материальный вред доказать сложно, а моральный обычно не оплачивают). Т.е. с точки зрения суда, ущерб субъекту - низкий (обычно 0 рублей). Если есть примеры дел с компенсацией субъекту ПДн за разглашение ПДн, то укажите пожалуйста в комментариях, я быстро найти не смог (обычно суд принимает решение в выплате ущерба отказать).
- Использование ПДн в криминальных целях. Тут уже больше вариаций использования ПДн субъекта:
- кража личности (например, чтобы оформить "левый" кредит)
- доступ к финансам (например, использование данных с кредитной карты, использование соц.инженерии для доступа к счету)
- "развод" на деньги, мошенничества (различные варианты, начиная от "мама, положи денег на телефон" , и заканчивая чуть более сложными "разводками")
- грабежи, разбои, похищения, вымогательство и пр. (основанные на знании наличия материальных ценностей и/или финансовых потоков)
|
Что делают с ПДн субъекта?
|
Вред для субъекта ПДн
|
|
1.Переманивание клиента
|
Низкий, ~0 рублей
|
|
2.СПАМ
|
Низкий, ~0 рублей
|
|
3.Публикация ПДн в открытом доступе
|
Низкий, ~0 рублей
|
|
4.Криминал
|
Высокий, ???рублей
|
Вот последняя группа и является самой "опасной" для субъекта ПДн, а ущерб здесь может быть довольно высоким (включая жизнь и здоровье). Попробуем его прикинуть...
Заходим на сайт МВД РФ в раздел "Состояние преступности" (за январь-июнь 2013 года) . Здесь нас интересует следующая аналитика:
- В январе - июне 2013 года зарегистрировано 1117,3 тыс. преступлений (назовем переменную "X")
- Ущерб от преступлений (по оконченным и приостановленным уголовным делам) составил 173,54 млрд. руб (назовем переменную "Y")
Дополнительно, мы возьмем еще и численность населения в РФ (143 млн.человек, назовем переменную "Z"). Едем дальше:
- W1=Y/X - "средний" ущерб на 1 преступление
- W2=(X*2)/Z - "среднее" количество преступлений в год (поэтому умножали на 2) на 1-го человека, можем рассматривать в качестве некой "вероятности" происшествия.
Я полагаю, что мы можем ПРИ ТАКОЙ ЛОГИКЕ и С УЧЕТОМ ВСЕХ ДОПУЩЕНИЙ, которые приняли по ходу расчета прийти к следующему выводу:
"Вред, который может быть причинен субъекту ПДн при утечке его ПДн, обычно будет меньше 2500 рублей в год"
P.S. Да, я понимаю, что в некоторых редкихзначениях, вред будет больше. Но я рассматриваю "усредненное" значение, прекрасно понимая, что утечки ПДн очень часто не приносят никакого вреда субъектам ПДн .
P.P.S. Ну, а для чего все это надо? Напоминаю, что вред субъекту ПДн мы должны оценить и, зафиксировать, например, в документе "Протокол оценки вреда, который может быть причинен субъектам ПДн" . В дальнейшем мы его можем использовать при моделировании угроз ПДн. Кстати, не обязательно использовать числовое (количественное) значение, его легко можно перевести в качественное...
P.P.P.S. Еще раз повторюсь, что это именно возможный вред Субъекту ПДн, а не Оператору. Стоимость утечки для организации должна считаться иначе.
P.P.P.P.S. Да, я понимаю, что это идея и модель. Давайте конструктивно обсуждать и уточнять! Пригодится! Оставляйте комментарии!
