Накануне вступления в силу правовых норм, ужесточающих ответственность за нарушения законодательства о персональных данных, эксперты на площадке ТАСС рассказали журналистам, что изменится, какие меры предпринимают бизнес и регуляторы для борьбы с потерей таких данных.
Пресс-конференция «Утечки персональных данных как социально-экономическая проблема» была организована Ассоциацией по вопросам защиты информации (Business Information Security Association, BISA) совместно с ГК InfoWatch. Мероприятие приурочено к введению в действие Федерального закона № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» и Федерального закона №421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации».
На правах модератора президент ГК InfoWatch Наталья Касперская напомнила, что, по данным МВД РФ, за прошлый год киберпреступники похитили у граждан России более 200 млрд руб. «Мошенники получают много личной информации о гражданине и благодаря этому могут воздействовать на него длительное время», – сказала модератор. Чтобы свести к минимуму такие риски, важно совместными усилиями регуляторов, юристов и экспертов в сфере ИБ находить оптимальные решения.
Российское законодательство в этой сфере ужесточается. В конце прошлого года была введена уголовная ответственность за незаконное использование персональных данных. С 30 мая 2025 г. будут применяться оборотные штрафы для компаний, которые допустили повторную утечку ПДн.
Бреши для утечек
О динамике утечек персональных данных рассказал главный редактор Business Information Security Association Михаил Смирнов. Согласно ежегодному исследованию, которое проводит ассоциация, с 2013 г. количество инцидентов с персональными данными значительно увеличилось. 12 лет назад было зафиксировано 104 утечки, в 2020 г. – 391, а в 2024-м – 592. Эксперты выяснили, что самыми пострадавшими от утечек сегментами стали торговля (35,1%), телекоммуникации (10,3%), госсектор (9,8%). Примечательно, что более благоприятная ситуация в сферах информационных технологий и информационной безопасности (5,2 и 3,9%).
Михаил Смирнов заострил внимание на резком увеличении числа утечек персональных данных из торговых организаций, малых и средних предприятий. Огромные цифровые массивы данных в настоящее время накапливают компании, которые не отличаются большими размерами. Злоумышленники атакуют такие предприятия в расчете и на то, что их системы защищены в меньшей степени (нет ресурсов, выделенных специалистов по ИБ и т. д.).
Кроме того, как показало исследование ГК «Циркон», малые организации склонны недооценивать риск утечки информации и не считают это серьезной проблемой.
Утекают данные разными способами. Наиболее «эффективны» с этой точки зрения – кибератаки (70,1%). На втором месте в списке – умышленные действия внутренних нарушителей (18,5% всех инцидентов). При этом, согласно опросам, бизнес-структуры больше всего опасаются утечек, которые становятся следствием намерений внутренних нарушителей. Немалая доля утечек представляет собой сочетание нескольких факторов и происходит по так называемой гибридной схеме.
Тройная проблема
Потери конфиденциальной информации эксперты называют технической, экономической и социальной проблемой. На основе таких данных мошенники реализуют свои схемы, их результатами становятся потери бизнеса и финансовый ущерб, причиняемый гражданам.
Противостоять утечкам – первоочередная задача компаний, которые берутся собирать данные в значительных объемах. Такое мнение высказал заместитель руководителя Роскомнадзора Милош Вагнер. Одна из рекомендаций представителя ведомства – соблюдать принципы работы с персональными данными. По его словам, следует, в частности, по достижении цели обработки обезличить данные, перенести их в архив.
«Критически важно компаниям прийти к осознанию того, что персональные данные – это та информация, охота за которой будет продолжаться и усиливаться в части конкурентной борьбы, в части злоумышленников и тех лиц, которые строят бизнес на вымогательстве. Поэтому важно поддерживать культуру работы с персональными данными внутри. Например, если в компании каждый менеджер имеет доступ ко всей базе данных, – наверное, это неправильная культура работы с данными», – сказал эксперт.
Успеть до 30 мая
В настоящее время еще действует старая система штрафных санкций. Компаниям, которые ранее допустили утечки и не проинформировали об этом уполномоченные органы, рекомендуется сделать это в срок до 30 мая.
Дело в том, что, по словам Милоша Вагнера, датой совершения подобного правонарушения является не время самой утечки, а время, когда о ней стало известно – например, скомпрометированные данные были размещены на каких-то интернет-ресурсах. Если произошедший ранее инцидент вызовет последствия в будущем, административная ответственность компании будет существенно выше.
Значительные штрафы предусмотрены за неуведомление уполномоченного органа о начале осуществления деятельности по обработке персональных данных и за неуведомление об утечке таких данных.
Уникальные сведения
Важные аспекты законодательных нововведений прокомментировал старший юрист практики интеллектуальной собственности и технологий юридической фирмы Denuo Михаил Шолохов.
Ключевое понятие персональных данных дополнено термином «идентификатор», под которым понимается уникальное обозначение сведений о человеке в информационной системе оператора.
Утечкой признается факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, что повлекло за собой нарушение прав субъектов персональных данных. Повторной называется утечка, которая произошла в течение года после назначения штрафа за аналогичный первый инцидент.
Эксперты пояснили, что подавать уведомления следует о случаях, когда, например, неправомерно копируется база персональных данных, когда данные попадают в открытый интернет-доступ или непредвиденно были предоставлены третьим лицам, либо когда компания получает угрозу от третьих лиц о раскрытии данных.
В настоящее время фактически любая компания выступает в роли оператора персональных данных. В контексте новых штрафных санкций эксперт рекомендует обратить особое внимание на штрафы в отношении так называемых специальных категорий персональных данных и биометрических данных. Общий совет – эти данные лучше не хранить или минимизировать их хранение.
В специальные категории персональных данных попадают, например, данные о здоровье (медицинские персональные данные), о расе, национальности и др. Применительно к их утечкам законодатели ввели отдельную шкалу штрафов (первичная наказывается штрафом до 20 млн руб., повторная – не менее 25 млн руб.). Стоит учитывать также, что не имеет значения, какой объем данных оказался в открытом доступе. Даже одна запись может обернуться огромным штрафом.
Обстоятельства смягчающие и отягчающие
Нивелировать возможные риски можно, если учитывать инструменты смягчающих и отягчающих обстоятельств, введенных по результатам обсуждения ситуации с бизнесом.
Отягчающими обстоятельствами признаются продолжение противоправного поведения (оператор допустил утечку, получил предписание и не реагирует на уведомления регулятора), а также зафиксированные к моменту утечки случаи нарушения законодательства оператором персональных данных.
Смягчающие обстоятельства учитывают расходы на услуги информационной безопасности у лицензированных провайдеров в размере 0,1% выручки компании на протяжении трех лет. К этой же категории обстоятельств относятся проведение регулярного аудита, который подтверждает отсутствие у компании нарушений на протяжение предыдущих 12 месяцев, и отсутствие отягчающих обстоятельств. Если перечисленные условия будут соблюдены, то компании могут существенно снизить штраф. Ожидается, что такая мера стимулирует операторов данных повышать культуру информационной безопасности в целом, а также осведомленность персонала о процессах обработки персональных данных.
Отсутствие полной и достоверной статистики об ущербе от утечек конфиденциальной информации в России остается одной из актуальных проблем. Затруднительно определить, насколько объективно бизнес воспринимает последствия утечек данных и как оценивает ущерб от них.
Любопытные данные представил технический директор ИБ-компании F6 Никита Кислицин. Соответствующее исследование утечек компания проводит продолжительное время на основе мониторинга профессиональных сообществ, телеграм-ресурсов, форумов на просторах Сети.
В первом квартале текущего года было зафиксировано около 70 публикаций о значительных утечках данных российских компаний. Как и в исследовании BISA, лидером по количеству таких ЧП стала торговля, в том числе онлайн-ритейл (почти половина всех инцидентов).
Обновление правовых норм в сфере защиты персональных данных эксперты называют законодательной революцией. Если и есть элемент преувеличения в этом сравнении, то незначительный. Такое впечатление сложилось по результатам обсуждения проблемы утечек в рамках пресс-конференции. Как отреагирует бизнес на нововведения, покажет время. Сегодня очевидно одно: защищая данные, компании не только охраняют свои информационные активы, но и встают на сторону потребителей, обеспечивая их безопасность.
- ВКонтакте
- Telegram