Comments 25
Ну пусть для начала платят не оборотные, а просто 500 млн рублей.
Я бы удивился, если бы они были за
Новости 2022:
«Яндекс.Еду» повторно оштрафовали на 60 тыс. руб. за утечку персональных данных
/сарказм/ Конечно же такие штрафы гораздо лучше.
Похоже с малыми штрафами закон о защите персональных данных толком вообще не работает - просто лишние головняки по оформлению стопки макулатуры и установке условно защищающего софта (может и хорошо защищает, вот только настройки как попало делаются и сопровождается плохо).
Защищать то защищает, но в десятки, а то и сотни раз снижает производительность it инфраструктуры, ибо все эти сзи стоят дохрена, а железо внутри копеечное. Так как все бабки производители этих сзи тратят на согласования во ФСТЭК, ФСБ и прочих бюрократиях.
А уж сколько наживаются интеграторы, которые клепают шаблонные бумажки, меняя только название заказчика, да фамилии подписантов. Выпускается куча мукулатуры, приказов, инструкций. А по факту кроме безопасниках на местах не знают эти инструкции и не исполняют их впоследствии.
Но даже если будут и исполнять, то это вообще никаким образом не уменьшит количество утечек, ибо никакие дорогие и правильно настроенные средства защиты не спасут от подкупа сотрудников, их обмана и других манипуляций.
Нужно наказывать конкретных людей в первую очередь. У каждой проблемы есть имя, отчество и фамилия. Жажда халявных денег отшибает инстинкт самосохранения, если ловить каждого десятого, а не каждого вообще, ситуация не изменится.
В том числе конкретный человек должен понимать, что если ему на работе выдали логин и пароль и наделили какими либо правами (например с доступом к ПДн), то он сам лично отвечает за его сохранность и несет полную ответственность за кражу этих учетных данных, продажу и т.п.
А так же сотрудник отдела ИБ должен под роспись ознакомить его, что можно, а чего нельзя. А потом проверить внезапно, на всякий случай, как товарищ соблюдает требования ИБ. И сделать оргштатные выводы, если что.
Плавали, знаем (правда не по защите ПДн, а по другому процессу). Давали читать правила (не на птичьем языке, адаптировали). После этого проводили вебинар, отвечали на вопросы. Когда сотрудник нарушал отправляли на курсы повышения осведомленности с последующей сдачей зачета (благо есть такие рычаги заставить). Но все равно нарушения происходят.
Пока не будет административной (или в самом жестком случае уголовной) ответственности перед физическим лицом за утечку ПДн ничего не изменится.
Главное, чтобы не произошел когнитивный диссонанс, когда одна гос. контора требует ей предоставить данные, а потом приходит вторая и классифицирует это как утечку и выписывать штраф :)
Тут вопрос в другом, можно посмотреть чего там снаружи делается и скопировать тот же GDPR, но там же ж во главе угла стоит право ЧЕЛОВЕКА
--------------
Там выше про софт было. Так проще всего вынести данные, тупо скопировав их и все. Решения по защите периметра от выноса данных есть, но это все такое. Тут надо собирать в кучу:
анонимизацию тест/дев сред
четкий контроль за доступом к проду
шифрование "чувствительных" данных в проде
контроль периметра на вынос изнутри наружу
Все это покрыть процессами по управлению инцидентами и ответственными лицами. Короче еще то упражение за много денег
Но на производительность влияет слабо, если делать по уму.
даже в том случае, если вины компании нет
А чья вина есть? Кто еще, кроме компании, хранящей данные, может быть виновен в их утечке?
Производитель софта, с которой сотрудничает компания, плюс хакер, который нашёл 0-day уязвимость в этом софте.
Попытался аналогию с кражей провести, но что-то не так. Поправьте пожалуйста, если время позволит.
Домушник влез ваше жилище по лестнице в окно, пока вы спали. Тихо обошел все комнаты, перетащил в мешок самые ценные вещи и вышел, так и не разбудив вас. Пропажу обнаружили утром. В этом случае, согласно УК, виноват на 100% домушник. Не вы, и не изготовитель окна, через которое проник злоумышленник. И даже не изготовитель лестницы.
В случае с утечкой перс данных государство решает оштрафовать "владельца жилища" за то, что злоумышленник проник к нему и украл ценности.
Что я упускаю?
Вы пытаетесь привести аналогию моего примера? Если да, то звучит верно. Для пущей убедительности можно добавить, что окно было установлено согласно ГОСТ-100500 «защищённые окна», но домушник знал способ открыть его, который ещё не учтён в ГОСТе.
Получается, что карательный орган пошел по легкому пути. Ответственность за ценность, которую не удалось сберечь по причине несовершенства конструкции окна, пытаются повесить на хозяина помещения, который не смог вовремя обнаружить злоумышленника. А тот факт, что сертификаты на окна выдает зять представителя этого самого органа, судом во внимание не принимается.
Хотя хозяин тоже хорош, взялся сберечь и не смог. Но в данной ситуации надо не его наказывать, а преступника ловить.
не совсем..
допустим мы живете в таком доме, где по ночам свободно прогуливаются домушники, а у вас есть что-то очень ценное и вы хотите это сберечь..
тут вам попадается ваш знакомый, который говорит что у него дома есть очень надежный сейф, а в нем еще один сейф, да и вообще сам дом тоже в сейфе. и предлагает вам вашу ценность оставить у него, но так как он сильно потратился на сейфы, то просит за это еще и вознаграждение.
а завтра он к вам приходит, и говорит, что вашу бесценную ценность украли и он тут не причем
Подобное поведение это ничто иное, как нежелание наращивать финансирование в сфере ИБ, при этом оставаться безнаказанным за утечку информации... Не удивительно. Нет в России таких банков которые могут хотя бы с 90% уверенностью заявить что у них все надежно.
Из‑за размера штрафов средства банков будут уходить на их уплату даже в том случае, если вины компании нет
Я что-то не догоняю как из банка могут утечь данные клиентов, без вины банка?
А разве бывает, что база, собираемая компанией утекла, а "вины компании нет"? Или это по аналогии с законом о банковской деятельности - если деньги из банка утекли, то это не вина банка и банк рискует только репутацией?
Значит нужна еще болеее гибкая система штрафов, дополнительная поддержка и обучение для банков с утечками. Так, чтобы банковскую сферу стимулировать решать вопросы, а не просто платить.В этом случае утечек будет становиться меньше.
Штрафовать Банки нужно Минимум как здесь написано, а Лучше вдвойне!
Российские банки выступили против оборотных штрафов до 500 млн рублей за утечки данных