Экспертно-аналитический центр ГК InfoWatch провел исследование финансовых последствий инцидентов, связанных с утечками персональных данных и другой конфиденциальной пользовательской информации, для юридических лиц. На основе изучения открытых источников в мире было обнаружено 118 случаев назначения штрафов и компенсационных выплат за нарушения, приведшие к утечкам данных. По сравнению с 2019 годом количество выявленных штрафов и компенсаций выросло на 9,3%. Их общая сумма в 2020 году составила около $385 млн.

В 2020 году лидерами по числу штрафов стали США и Сингапур — на них пришлись, соответственно, 28 и 23 финансовых взыскания. В первую пятерку стран по количеству назначенных взысканий также вошли Румыния (11 штрафов), Италия (9 штрафов) и Соединенное Королевство Великобритании и Северной Ирландии (5 штрафов). Как и годом ранее, США заняли первое место среди стран по размеру среднего штрафа. Его сумма в 2020 году составила $13 млн.

Число штрафов, вынесенных регуляторами стран Евросоюза за утечки, составило 35,6% от всех штрафов, но средний штраф здесь составил только $93 тыс.

В отраслевом распределении 50% мировых штрафов пришлись на хайтек-компании, здравоохранение и ритейл. Наибольшее падение биржевых показателей сразу после утечек отмечено среди компаний сегментов «Ритейл&HoReCa», а также «Высокие технологии» (хайтек — телеком, ИТ) — на 2,29% и 2,02% соответственно. Наименее восприимчива к утечкам сфера промышленности и транспорта — здесь даже после инцидента, связанного с компрометацией данных, курс акций в среднем подрастал на 0,56%. Относительно устойчивой также можно признать финансовую сферу, потери участников которой в первые часы после утечки оказались довольно невелики — менее четверти процента.

На сегодня можно достаточно уверенно говорить о том, что утечка оказывает сильное влияние на уровень капитализации компании в краткосрочной перспективе, то есть в первые дни после сообщения об инциденте. В дальнейшем на формирование курса акций влияют другие факторы.

Авторы отчета пришли к выводу, что регуляторы стран ЕС, опираясь на положения вступившего в силу в 2018 году регламента GDPR, в 2020 году продолжили методично штрафовать компании, допустившие утечки. При этом в Евросоюзе в период пандемии практически нет крупных штрафов за утечки. Скорее всего, в ближайшее время мега-штрафы (в размере десятков и сотен миллионов долларов) в основном будут выписываться регуляторами США и только за резонансные утечки, то есть те, при которых могут быть потеряны миллионы записей пользовательских данных. При этом отягчающими факторами будут выступать длительное сокрытие фактов утечек и недостаточное внимание компаний к контуру кибербезопасности.

В 2021 году, прежде всего, стоит ожидать расширения географии штрафов за утечки по причине того, что регуляторы в сфере защиты информации во многих странах постепенно совершенствуют законодательство, исходя из новых реалий, и встают на путь методичной защиты пользовательских данных как основного компонента цифровой личности.