Меня зовут Домнин Сергей. Будучи руководителем направления ИБ, я несколько лет занимаюсь продуктовой безопасностью и complience в области персональных данных в SM Lab.
В этой статье я расскажу о новых рисках для бизнеса в связи с ужесточением ответственности за нарушения в области персональных данных (далее ПДн) и мерах по их снижению.
Что изменилось
До недавнего времени отношение законодательства к нарушениям в области ПДн можно было охарактеризовать как достаточно мягкое. С 30.05.2025 г. начинают действовать новые штрафы, которые ввел Федеральный закон от 30.11.2024 г. №420-ФЗ. Также принят Федеральный закон от 30.11.2024 № 421-ФЗ, вступивший в силу в конце 2024 г., где вводится уголовная ответственность за нарушения в области ПДн. Из новелл: появились оборотные штрафы, про которые столько говорили последние несколько лет.
Если вы допустили повторную утечку в течение календарного года после предыдущей (зафиксированной решением суда), вы должны будете заплатить 1-3% от годовой выручки за прошлый год, т.е. от 20 до 500 млн руб.
Виды ответственности для бизнеса
Обновленное законодательство безусловно создает новые риски для компаний. Мы можем выделить две группы ответственности: административную и уголовную.
Начнем с административной.
Если вы забыли подать уведомление в РКН о том, что вы осуществляете обработку данных, и это фиксируется по результатам проверки – вы получаете штраф. Если вы забыли сообщить об утечке и допустили ее в том или ином виде (утечка специальных, биометрических ПДн карается более серьезно) – вы тоже получаете штраф. А повторная утечка – это совершенно кошмарная история для любого бизнеса, особенно малого и среднего. Т.к. размеры штрафов уже исчисляются процентами от оборота и начинаются от 20 млн руб.
Второй вид рисков – уголовные.
Теперь у нас есть два новых состава. Первый менее применим к бизнесу – это создание ресурсов, где будут храниться незаконно полученные ПДн, например, украденные.
Второй, если кратко, незаконное использование или передача ПДн, полученных путем неправомерного доступа к системам, где они хранятся или обрабатываются. Диспозиция сформулирована таким образом, что не до конца понятно, может ли кто-то помимо хакеров стать субъектом данного преступления. Например, сотрудники компаний, которые с преступным умыслом неправомерно получили доступ к ПДн? Или будет ли считаться преступлением скачивание утекшего дампа с ПДн сотрудником службы ИБ при расследовании инцидента? К сожалению, пока сложно ответить на этот вопрос из-за отсутствия правоприменительной практики.
Данный состав применяется в утяжеленном виде, если вы украли специальные биометрические данные, ПДн несовершеннолетних или попытались отправить их за пределы РФ (совершили трансграничную передачу).
Есть и хорошие новости
Законодатель предусмотрел смягчающие обстоятельства при повторной утечке, позволяющие снизить размер штрафа.
Что касается первой утечки и каких-то других нарушений, то никаких смягчающих обстоятельств нет – будут наказывать по всей строгости закона, т.к. смягчение наказания применимо только ко второй утечке за календарный год. А вот для того, чтобы соответствовать им, бизнесу необходимо показать добросовестное отношение к безопасности ПДн.
Всего нужно выполнить три требования:
Что можно сделать для снижения рисков
Какие действия стоит в первую очередь предпринять бизнесу, чтобы обезопасить себя?
Для начала следует принять некоторые меры до того, как инцидент (например, утечка) произошел:
обновить всю вашу документацию по обработке ПДн и подвести её под соответствие последним изменениям в законе;
подать уведомление в РКН о ведущейся обработке ПДн. Тут есть два нюанса. Во-первых, если вы подавали уведомления до того, как была внедрена новая форма РКН, то вам необходимо переподать его. Во-вторых, если вы ранее вообще не подавали уведомление, потому что у вас обрабатывались только данные работников, то теперь это исключение из закона убрали. Все юридические лица с маломальским штатом теперь должны проинформировать РКН о том, что они являются оператором, даже если в компании нет клиентских данных;
актуализировать общедоступные документы на сайтах и в мобильных приложениях. Например, политику конфиденциальности, пользовательское соглашение, плашку о куки, согласие под формой сбора ПДн и др.;
не стоит забывать про трансграничную передачу и локализацию ПДн. Если очень хочется отправить ПДн за границу, то есть белый список РКН. Если нужная страна есть в списке, достаточно уведомить регулятор. Если нет, то необходимо получить разрешение у РКН;
обновить формы согласия на обработку ПДн всех типов субъектов ПДн (работники, контрагенты, посетители сайтов, клиенты и т.д.). Это стоит сделать, если у вас появляются новые третьи лица, которым вы собираетесь передавать ПДн, меняются цели обработки или состав собираемых данных;
заключить договор поручения обработки ПДн, если вы аутсорсите какую-то функцию по обработке ПДн в другой компании;
повысить уровень осведомленности сотрудников и руководства, т.к. статистика социальной инженерии из года в год выглядит весьма удручающе – она всё еще остается одним из самых популярных инструментов у злоумышленников. Можно проводить регулярные обучения, фейковые рассылки, учения и т.д.;
инвестировать в ИБ 0,1% от ежегодной выручки (услуги лицензиатов ФСТЭК) – это одно из условий для применения смягчающих обстоятельства, да и в принципе инвестиции в ИБ всегда хорошо и полезно;
составить акт об уничтожении ПДн после завершения цели обработки, истечению срока или при отзыве согласия субъектом. Желательно подготовить регламент, чтобы всем в компании было понятно, как это должно работать.
Переходим к более приземленной части:
контролируем действия подрядчиков. Крупные компании нередко аутсорсят часть работы подрядчикам. Соответственно, в достаточно защищенную инфраструктуру имеют доступ люди из компаний, которые могут очень попустительски относиться к безопасности. Это создает риск проникновения (а именно Trusted Relationship Attack) через ваших подрядчиков, когда атакующие используют захваченные учетки контрагента для проникновения в вашу сеть. Митигацией могут служить PAM, сегментация сети и регулярные аудиты доступов;
проводим аудит ИСПДн: каталогизируем, разделяем на более/менее критичные и в зависимости от этого выкатываем владельцам требования по безопасности;
минимизируем собираемые ПДн для уменьшения масштаба утечки;
проводим аудит и ограничиваем доступ к самим ИСПДн, т.е. минимизируем права и режем лишние доступы;
строим процесс обнаружения и реагирования на инциденты. Если вы достаточно крупная компания, то пора задуматься о собственном SOC;
осуществляем мониторинг: DLP помогает предотвращать утечки, EASM – мониторит поверхность атаки для оперативного реагирования на угрозы;
внедряем 2FA.
Финальное напутствие
Я рекомендую на все процессы, которые у вас связаны с обработкой ПДн, на постоянной основе подключать GR, DPO и юристов. Правда, они не всегда понимают, как устроена техническая часть, поэтому потребуется специалист из ИБ.
Как уже писалось выше, инвестируем в ИБ: закупаем системы защиты, формируем команду безопасности, строим процессы. При этом не забываем: если вы хотите попасть под смягчающие обстоятельства, лучше всего пользоваться услугами компании, у которых имеется лицензия ФСТЭК.
Следующая точка приложения усилий: мониторинг. На рынке полно услуг и СЗИ от DLP до целенаправленного поиска следов компрометации. Мониторинг очень важен, потому что если вы будете на ранних стадиях детектировать аномальные действия в корпоративной сети или на периметре, то сможете оперативно среагировать и предотвратить возможный инцидент.
Помним не только про атаки через поставщика, но и инсайдерские атаки. Ваши сотрудники, как и ваши подрядчики – это два источника угрозы, которые могут действовать изнутри периметра.
Проводите регулярные аудиты безопасности, тестирования на проникновение и Red Teaming для оценки реального уровня вашей защиты.
Вместо вывода
Персональные данные – ценный актив, который требует ответственного обращения. Сегодня уже недостаточно одной политики конфиденциальности: законодательство и рынок требуют от бизнеса системного подхода к обеспечению безопасности данных граждан.
В этом году риски в области обработки ПДн безусловно выросли. Но я уверен, что перечисленные выше рекомендации помогут значительно снизить этот риск.
