Совсем скоро произойдут глобальные изменения в сфере защиты данных: 30 мая вступят в силу оборотные штрафы за утечку персональных данных. В случае первого инцидента компания заплатит от 3 млн до 20 млн руб., при повторном – от 20 млн до 500 млн руб., или 1-3% от оборота.
Организации заранее готовятся к нововведениям: внедряют защитные системы и обучают сотрудников основам информационной безопасности. В 2024 году количество утечек по вине работников снизилось на 18% (48% в 2024-ом против 66% в 2023 году). 41% организаций увеличили бюджеты на ИБ. И это правильно. Если компания подтвердит, что в течение года до инцидента соблюдала требования к безопасности персданных и в течение 3-х лет направляла 0,1% выручки на выполнение ИБ-мероприятий с участием лицензированных компаний, то максимальный штраф за повторную утечку будет снижен в 10 раз.
Но как закон будет работать на практике? Чтобы понять это, мы разобрали реальные судебные дела, связанные с утечками данных. Сопоставили, какие санкции получил нарушитель при прежних законах и что его ожидает в аналогичной ситуации при новом законе. И какие технологии защиты помогли бы предотвратить инцидент.
Cлучай 1
2024 год. При настройке веб-сервера интернет-магазина была допущена уязвимость, которую не закрыли. С ее помощью хакеры дважды взламывали сайт, похищали и публиковали базы данных покупателей. Пострадали более 400 тысяч записей.
В первый раз такое бездействие повлекло штраф для компании на 60 тыс. рублей по ч. 1 ст. 13.11 КоАП, а для директора – на 10 тыс. рублей. Во второй раз юридическое лицо оштрафовано на 70 тысяч рублей, на должностное – на 15 тыс. рублей.
2025 год. С учетом числа пострадавших записей, в 2025 году такая утечка была бы квалифицирована по новой ч. 13 ст. 13.11 КоАП. В первый раз штраф составил бы 5-10 млн рублей, а во второй – 1-3% от оборота. Поскольку компания крупная и публикует данные о выручке, мы можем оценить штраф в 86-260 млн рублей.
Директор бы ответственности не понес. Наказание должностных лиц за это нарушение предусмотрено только для органов власти и некоммерческих организаций.
Как можно предотвратить? Здесь из-за «человеческого фактора» не была закрыта уязвимость сайта, которой воспользовались хакеры.
Если бы у компании была установлена SIEM-система или сканер уязвимостей, они помогли бы избежать повторного инцидента. SIEM, например, хранит логи всех событий, по которым можно сделать анализ, как проходило развитие атаки. С ее помощью можно выявить, какая уязвимость использовалась и закрыть ее.
Случай 2
2024 год. Сотрудница государственного медучреждения перепутала данные двух пациенток и отправила документ с результатами анализов на другой адрес.
На учреждение наложено наказание в виде предупреждения.
2025 год. Если бы нарушение случилось после 30 мая 2025 года, в деле были бы учтены два новых обстоятельства.
Во-первых, были скомпрометированы сведения о здоровье гражданина – персданные специальной категории. Во-вторых, инцидент случился в некоммерческой государственной организации, то есть наказание получил бы сотрудник, ответственный за обработку персданных, а не учреждение. За разглашение персданных специальной категории ему бы грозил штраф в размере 1-1,3 млн рублей.
Как можно предотвратить? Здесь мы сталкиваемся с типичным случаем утечки по халатности. Минимизировать такие нарушения помогает открытый режим работы в DLP. В системе можно создать предупреждения, на случай возможных опасных действий с конфиденциальными данными (печать документов, отправка писем, открытие файлов и т.д.).
Например, система оповещает сотрудников, чьи письма нарушили корпоративные правила и попали в карантин. Если письмо с конфиденциальной информацией пытаются отправить на новые адреса, то пользователь увидит предупреждение, что пересылка данных несёт потенциальные риски. Уведомление привлекает внимание сотрудника и позволяет предотвратить случайную отправку конфиденциальной информации.
Случай 3
2024 год. Сотрудник банка 4 месяца передавал постороннему лицу персданные клиентов. За это он получал вознаграждение в биткоинах и конвертировал их в рубли.
Виновный осужден за неправомерный доступ к компьютерной информации и разглашение банковской тайны с использованием служебного положения, а также за отмывание денег. Он приговорен к штрафу в 50 тысяч рублей и лишению свободы на 1,5 года условно.
2025 год. С принятием поправок в УК, подобные нарушения будут караться намного строже.
С учетом того, что сотрудник воспользовался служебным положением, чтобы получить финансовую выгоду, ему бы грозило лишение свободы до 6 лет и штраф до 1 млн рублей. Кроме того, к санкциям за продажу персданных прибавилось бы наказание за отмывание денег.
Как можно предотвратить? «Пробив» – частый ИБ-инцидент в финсекторе. Он несет серьезные репутационные риски и требует от организации участия в расследовании, чтобы избежать ответственности юрлица.
Минимизировать риск «пробива» поможет комбинация DCAP и DLP-систем. C помощью DCAP можно найти в хранилищах компании все файлы, содержащие ПДн, после чего запретить выбранным категориям пользователей их копирование, пересылку и иные действия. Или вовсе заблокировать доступ к ним.
DLP позволяет выявить «вынос» данных еще до его осуществления. Система может вычислить риски слива информации и информировать об этом ИБ-специалиста. Если утечка уже случилась, DLP восстановит ход событий, поможет провести расследование и определить виновного. Данные из системы можно использовать в суде, чтобы снять ответственность с бизнеса.
Случай 4
2022 год. Врач государственной поликлиники опубликовал на странице в соцсети ФИО пациентов, номера их полисов и сведения об анализах на COVID. Обнаруживший нарушение пользователь соцсети обратился в прокуратуру.
Дело было возбуждено прокуратурой, поэтому виновник был наказан не за нарушение с персданными, а за разглашение врачебной тайны. Он был оштрафован на 40 тысяч рублей как должностное лицо.
2025 год. Подобные инциденты могут повлечь за собой как административную, так и уголовную ответственность. В этом кейсе отягчающим обстоятельством станет факт утечки персданных специальной категории.
Если утечку обнаружит Роскомнадзор, то виновный, как сотрудник госучреждения, будет оштрафован на 1-1,3 млн рублей. Если дело будут вести следственные органы, не исключено лишение свободы до 5 лет или штраф до 700 тыс. рублей.
Как можно предотвратить? В такой ситуации организации необходимо предотвратить «вынос» данных из своих систем.
DCAP-система позволяет выделить файлы любых форматов (docx, pdf, jpeg, png и пр.), которые содержат критичную информацию, и присвоить им метку определенного типа. DLP выявит опасные действия сотрудников с этими файлами: перенос информации на внешнее устройство, в облако или другой ресурс – и предупредит об угрозе.
Даже если файл графический, например, скан сертификата о вакцинации, система распознает его содержимое и позволит блокировать утечку еще до того, как кто-то попытается вынести данные.
Случай 5
2024 год. Сотрудник офиса мобильного оператора за вознаграждение фотографировал персданные абонентов, выведенные на экран из служебной системы. Далее он передавал их заказчику через Telegram.
Доказано 13 случаев «пробива». Нарушитель приговорен к штрафу в 110 тысяч рублей за нарушение неприкосновенности частной жизни и неправомерный доступ к информации с использованием служебного положения.
2025 год. Это наиболее распространенный сценарий ИБ-нарушения в сфере связи. С этого года такие действия будут наказываться заключением на срок до 6 лет и штрафом до 1 млн рублей.
Преступления с неправомерным доступом к компьютерной информации и нарушением неприкосновенности частной жизни относятся к категории небольшой тяжести. Даже с использованием служебного положения участники «пробива» зачастую не приговариваются к реальному лишению свободы.
Новая статья 272.1 УК РФ относит разглашение персданных с использованием служебного положения к преступлениям средней тяжести. Это позволяет судам приговаривать к заключению даже тех нарушителей, кто привлекается впервые.
Как предотвратить? Фотографирование экрана – один из самых популярных способов обойти блокировки и политики безопасности. Однако современные DLP распознают камеру, поднесенную к экрану, и уведомляют ИБ-службу о попытке фотографирования данных.
DCAP-системы добавляют в файл неудаляемый «водяной знак», который виден на фотографиях. Обнаружив, что снимок помечен, нарушитель вряд ли захочет им делиться. А в случае утечки ИБ-специалист сможет вычислить виновника утечки.
Бонус
Новый состав нарушения. Неуведомление Роскомнадзора об обработке персональных данных с 30.05.2025 грозит бизнесу штрафом от 100 до 300 тысяч рублей.
Все компании работают с персональными данными. С 2022 года они обязаны сообщать об этом в Роскомнадзор. В уведомлении, наряду с целью обработки и контактами ответственного за работу с ПДн, операторы указывают, какие ИБ-меры ими приняты.
С 30 мая в случае, если станет известно, что организация, которая не подала такое уведомление, работает с персданными, ей будет назначен штраф. Число компаний под угрозой достигает нескольких миллионов.
Как предотвратить? С помощью DCAP-системы можно найти все файлы с ПДн в компании и разграничить права доступа к ним. Также в системе доступна настройка теневого копирования, которая поможет исключить полную утрату чувствительных данных (их удаление). Система поможет сохранить файлы и при необходимости восстановить их.
Итак, комплексная защита помогает существенно минимизировать риски инцидентов. Но если утечка все же произошла, компания, используя ИБ-средства, докажет, что виновный – конкретный человек. А значит, организация сможет снять с себя ответственность.
Узнать больше о защите персональных данных с помощью ИБ-систем можно в инструкции: «Как защитить ПДн и выполнить требования ФЗ-152» и памятках по использованию DLP, DCAP и SIEM. Из них вы узнаете, как организовать безопасную обработку данных и действовать при утечке.
А компаниям без штатной службы ИБ рекомендуем ознакомиться с возможностями защиты на аутсорсе: «Как выявить проблемы с инфобезом без штата ИБ-специалистов и покупки ПО».
