Москва, 26 сентября 2023г.
Личная информация клиентов немецкого телеком-оператора T-Mobile попала в общий доступ. Сама компания две недели игнорировала жалобы клиентов, после чего заявила, что взлома ее систем не было.
В публичном доступе оказались имена, номера телефонов, адреса, данные об остатках на счетах, а также информация банковских карт клиентов немецкого телеком-оператора T-Mobile. В течение двух недель компания игнорировала жалобы пользователей, после чего выступила с заявлением, чтобы в работе системы произошел «сбой». «В T-Mobile не было никакой кибератаки или взлома. Это был временный системный сбой, связанный с запланированным ночным обновлением технологии, включающий публикацию ограниченной информации об учетных записях менее чем 100 клиентов, который был быстро устранен», - заявили в компании.
В начале 2023 года в компании уже происходил «слив» информации о 37 млн пользователей, в прошлом году хакерская группа Lapsus также похитила у T-Mobile исходные коды.
При инцидентах с персональными данными операторам стоит максимально открыто взаимодействовать с Роскомнадзором, отмечал ранее замглавы ведомства Милош Вагнер на пленарной дискуссии BIS Summit 2023. В первую очередь, важно извещать о полном объеме возможной потери данных, а не только о той информации, что была опубликована в сети.
Работа российских операторов персональных данных усиленно контролируется законодательством, которое в 2022 году претерпело значительные качественные изменения, отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. «Поправки коснулись, в частности, дискриминирующих условий в пользовательских соглашениях, а также порядка действий компаний, которые столкнулись с киберинцидентами. В частности, операторы обязаны информировать Роскомнадзор об инцидентах с персональными данными, в том числе утечках, непосредственно с момента их выявления. Первое уведомление должно поступить в течение суток, в нем должны быть описаны скомпрометированные данные и указано контактное лицо. Далее дается трое суток, по итогам которых нужно сообщить о результатах внутренней проверки. Также установлены конкретный состав сведений, который оператор должен указать при направлении уведомления по факту утечки персональных данных, а также все процедуры взаимодействия, позволяющие установить всю информацию об утечке персональных данных, и принять предусмотренные законом меры реагирования», - сказал депутат.
Операторы должны понимать, что наиболее полный объем информации о случившейся утечке позволит ведомству быстрее предпринять меры по устранению ее последствий, уверен Немкин. «А попытки скрыть утечку все равно не увенчаются успехом, и, кроме того, еще больше скажутся на репутации компании», - заключил парламентарий.
