Штрафы снова выросли: как избежать утечки персональных данных

С 30 мая вступили в силу изменения в КоАП 13.11 (части 12-17), которые увеличивают штрафы за утечку персональных данных. Размер штрафа теперь зависит от количества пострадавших и категории данных. Для организаций штрафы составляют от 3 млн рублей до 15 млн рублей, а для должностных лиц – от 200 000 рублей до 1,5 млн рублей. Александр Яров, руководитель по информационной безопасности ELMA рассказал, как бизнесу уменьшить риски получения штрафа и обезопасить персональные данные.

Утечка персональных данных: почему это важно и какие последствия ждут компании

В последнее время тема утечек персональных данных все чаще звучит в новостях. Что же скрывается за этим понятием и какие риски несут компании?

Согласно требованиям Роскомнадзора, утечкой персональных данных считается ситуация, когда действия или бездействие организации привели к неправомерной передаче, предоставлению, распространению или обеспечению доступа к информации, содержащей личные данные. Важно понимать, что даже передача данных партнерам или обработчикам без должного юридического оформления может быть расценена как утечка.

При этом в законе есть важное дополнение: теперь организации, допустившие повторную утечку, могут столкнуться со штрафами от 1 до 3 процентов от их годового совокупного дохода или собственного капитала (но не менее 25 миллионов и не более 500 миллионов рублей). Для должностных лиц предусмотрены штрафы в размере от 1,5 до 2 миллионов рублей.

Таким образом, дискуссии о размере штрафов за утечки завершились – они действительно привязаны к обороту компании, но с некоторыми смягчениями.

Стоит отметить, что повышены также штрафы за несвоевременное уведомление Роскомнадзора о начале обработки персональных данных и об обнаружении факта утечки. Теперь организации могут быть оштрафованы на сумму от 100 до 300 тысяч рублей за первое нарушение и от 1 до 3 миллионов рублей за повторное.

Все эти финансовые последствия могут оказаться критичными для многих компаний. На этом фоне инвестиции в системы безопасности и их развитие кажутся не блажью, а необходимыми мерами для защиты бизнеса от серьезных рисков. Можно смело утверждать, что защита персональных данных становится все более важной задачей, а соблюдение требований законодательства – не только вопросом репутации, но и гарантией финансовой стабильности.

Большой, средний, малый: какие компании в зоне риска утечки персональных данных

Риск утечек данных для российских организаций значительно возрос, причем пострадать могут компании любого размера. Согласно последним исследованиям Positive Technologies, более половины успешных кибератак приводят к реальным утечкам информации.

Пять отраслей оказались наиболее уязвимыми для утечек данных:

• государственные учреждения;

• промышленность;

• IT-компании;

• финансовые организации;

• медицинские учреждения.

Порядка трети всех случаев утечек касаются персональных данных пользователей, чуть менее четверти приходится на коммерческие тайны и конфиденциальную информацию.

В условиях ужесточения законодательства, включая штрафы и пристальное внимание со стороны Роскомнадзора, риск столкнуться с негативными последствиями утечки данных значительно увеличился.

Особую тревогу вызывает ситуация в даркнете: в первом полугодии 2024 года персональные данные стали самым востребованным товаром, составляя 83% всех объявлений о продаже или распространении информации. При этом количество предложений о бесплатной раздаче данных (64%) почти вдвое превышает количество объявлений о продаже (33%).

Примечательно, что именно российские компании чаще всего становятся источником бесплатных утечек – 88% всех скомпрометированных данных поступают из России. Это связано с тем, что не у всех злоумышленников главным мотивом является получение денежных средств – зачастую злоумышленники требуют выкуп за нераскрытие украденных данных, и не все организации готовы или могут его оплатить.

Поэтому даже небольшие компании не должны считать себя вне зоны риска. Они могут стать целью мошенников, которые пытаются подставить компанию, чтобы она получила штраф.

Виды популярных кибератак

Понимание того, какие виды атак наиболее распространены, – первый шаг к эффективной защите.

Вредоносное ПО: главный инструмент злоумышленников

Наиболее часто пользователи сталкиваются с атаками, использующими вредоносное программное обеспечение (ВПО). Среди них особенно выделяются два типа.

• Шифровальщики. Эти программы блокируют доступ к вашим данным, шифруя их и требуя выкуп за расшифровку. Атаки с использованием шифровальщиков, такие как WannaCry или Petya, нанесли огромный ущерб компаниям по всему миру.

• ПО для удаленного управления (RAT). Такие вирусы позволяют злоумышленникам получать полный контроль над зараженным устройством, просматривать файлы, перехватывать данные и даже управлять камерой и микрофоном. Это делает их опасными инструментами для кражи конфиденциальной информации и шпионажа.

Социальная инженерия: обман как ключ к успеху

Однако простого наличия вредоносного ПО недостаточно – злоумышленники нуждаются в способе его распространения. И здесь на помощь приходит социальная инженерия – манипулирование людьми с целью получения доступа к конфиденциальной информации или заражения устройств ВПО.

Социальная инженерия может принимать различные формы.

• Фишинговые электронные письма. Поддельные письма, маскирующиеся под сообщения от известных компаний (банков, интернет-магазинов и т.д.), содержат ссылки на вредоносные сайты или прикрепленные файлы с вирусами.

• Вредоносные веб-сайты. Сайты, выдающие себя за легальные ресурсы, могут заразить устройство просто при посещении или попросить конфиденциальную информацию.

• Атаки в социальных сетях и мессенджерах. Злоумышленники используют социальные сети и мессенджеры для распространения вредоносных ссылок, поддельных аккаунтов и обмана пользователей. Они могут выдавать себя за знакомых или представителей компаний, чтобы получить доверие.

Как защитить бизнес от утечки персональных данных и штрафов

Из всего вышесказанного становится понятно, что штрафы увеличиваются, проверки становятся жестче, а возможностей уйти от ответственности остается все меньше. Что делать бизнесу в этой ситуации? Можно выделить несколько ключевых шагов, которые помогут минимизировать риски и избежать серьезных санкций.

Первый уровень защиты: основа безопасности

Чтобы снизить риски, первым делом примите следующие меры.

1. Зарегистрируйтесь в реестре операторов, осуществляющих обработку персональных данных. Это обязательное требование закона 152-ФЗ. Проверить и внести данные о вашей компании (и всех дочерних) можно на портале Роскомнадзора. Это простая и быстрая процедура, которая позволит избежать штрафа уже на этом этапе.

2. Проверьте наличие актуальной документации в соответствии с 152-ФЗ. Убедитесь, что у вас есть все необходимые политики, регламенты и инструкции.

3. Удостоверьтесь в реальном внедрении мер защиты. Документы – это хорошо, но важно, чтобы предписанные меры безопасности действительно работали на практике. Приказы ФСТЭК по защите персональных данных служат ориентиром при формировании системы безопасности.

4. Минимизируйте сбор и обработку данных. Удаляйте, обезличивайте или маскируйте данные, которые не нужны для достижения конкретных целей. Чем меньше персональной информации вы обрабатываете, тем ниже риски.

Второй уровень безопасности: построение надежной внутренней защиты

После выполнения базовых шагов необходимо развивать внутреннюю систему безопасности.

• Создание команды безопасности. Желательно выделить ответственного за информационную безопасность (CISO), который сможет эффективно сочетать бизнес-потребности и управление рисками.

• Привлечение внешних экспертов. На начальном этапе полезно обратиться к специалистам для оценки текущего состояния и разработки стратегии защиты.

• Оценка цифровых активов и критичных процессов. Определите, какие данные и системы наиболее важны для вашего бизнеса, а также оцените потенциальные последствия их потери или компрометации (RTO, RPO, стоимость простоев).

• Анализ рисков и определение риск-аппетита. Понимание того, какие события в сфере ИТ/ИБ неприемлемы для бизнеса, позволит определить приоритеты и необходимые ресурсы.

• Разработка планов реагирования на инциденты. Заранее продумайте действия в случае утечки данных или других нештатных ситуаций, чтобы оперативно минимизировать ущерб и обеспечить непрерывность бизнес-процессов.

Соблюдение этих рекомендаций поможет бизнесу адаптироваться к новым реалиям регулирования и защитить себя от потенциальных рисков, связанных с обработкой персональных данных.

Оригинал статьи на SEOnews