![Защита данных от внутренних угроз](/upload/cssinliner_webp/iblock/d94/oqv66rearwohj1tl271hb0228sj8kmxw/zashchita_dannyh_ot_vnutrennih_ugroz.webp)
Защита данных от внутренних угроз
Узнать больше27.04.2024
Законопроект № 502104-8 о внесении изменений в КОАП РФ может повысить уровень ответственности компаний, ИП и должностных лиц за нарушение порядка обработки ПДн.
Проблема утечки персональных данных в последние два года значительно усугубилась, атаки на коммерческие организации и госпредприятия с целью кражи сведений о физлицах участились. По данным Роскомнадзора, в 2023 году в открытом доступе было обнаружено более 300 миллионов таких записей.
Проблема нелегитимного доступа и распространения персданных представляет угрозу не только для владельцев этих данных, но и наносит ущерб самим компаниям, из которых данные были похищены. Помимо коммерческой выгоды от продажи этих данных или их использования в преступных целях, замыслом злоумышленников зачастую является причинение их владельцам репутационного ущерба. Также кража персданных, например, клиентских баз, списков партнеров может повлиять на отношения с контрагентами, конкурентоспособность и финансовые планы компаний.
Кражи данных происходят как из-за найденных киберпреступниками уязвимостей в программном обеспечении операторов ПДн, так и по вине инсайдеров – сотрудников компаний, которые предоставляют доступ к сведениям или передают базы данных по неосторожности или умышленно. Мошенники ведут целенаправленный поиск инсайдеров в финансовых организациях, страховых компаниях, мобильных операторах, медучреждениях, в сфере ретейла, ИТ- и других компаниях, обрабатывающих большое количество данных физических лиц.
Злоумышленники оперируют широким набором проверенных мошеннических схем с использованием персональных данных для получения денежных средств от жертв. При этом персональные данные используются как точечно, например при звонках мошеннических колл-центров или отправке фейковых адресных сообщений от имени коллег и друзей, так и с целью массовых атак, таких как спам и фишинг.
Социальная инженерия, несмотря на, казалось бы, более сложную схему мошенничества, приобретает все большие масштабы. Пострадавшими становятся уже не только люди, далекие от цифровой жизни, но и известные личности, главы компаний, офисные работники. К сожалению, сценарии злоумышленников развиваются вместе с технологиями. Мошенники освоили возможности искусственного интеллекта, активно используют дипфейки.
Количество инцидентов с использованием социальной инженерии неуклонно растет, поэтому важность защиты персональных данных активно обсуждается законотворцами не первый год, расширяется список мер для недопущения утечек, ужесточаются штрафы операторов ПДн за нарушения.
В Госдуме идет работа над законопроектом № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части усиления ответственности за нарушение порядка обработки персональных данных)», который общественность и СМИ чаще называет «законопроектом об оборотных штрафах за утечки данных».
Законопроект предлагает усилить ответственность внесением поправок в статью 13.11 КоАП «Нарушение в области персональных данных». Ключевые пункты этого документа:
1. Введение штрафов за неуведомление Роскомнадзора о случаях утечек персональных данных.
Эта обязанность установлена Федеральным законом от 14.07.2022 № 266-ФЗ, который вносит соответствующие изменения в 152-ФЗ «О персональных данных». Также 266-ФЗ сократил перечень исключений в отношении персональных данных, которые оператор может обрабатывать без уведомления уполномоченного органа, то есть Роскомнадзора.
2. Усиление ответственности и введение оборотных штрафов за допущение утечек персональных данных.
В настоящее время часть 1 статьи 13.11 КоАП РФ предусматривает максимальный размер штрафа для юридических лиц до 100 тыс. руб., а при повторном совершении административного правонарушения – до 300 тыс. руб.
Уплата такого штрафа обходится компаниям дешевле, чем внедрение комплекса технических мер для противодействия утечкам и не соразмерен с возможными последствиями для владельцев украденных персональных данных. Законотворцы надеются, что новые меры, вплоть до оборотных штрафов, простимулируют операторов персональных данных развивать инфраструктуру информационной безопасности и защиту данных своих пользователей.
Размер штрафа будет зависеть от объема похищенной информации: количества субъектов персональных данных в украденной базе и/или количества уникальных идентификаторов – сведений о физлицах, необходимых для определения таких лиц.
Нарушение |
Ответственность до принятия законопроекта № 502104-8 |
Ответственность после принятия законопроекта № 502104-8 |
Непредоставление уведомлений в Роскомнадзор |
Ст. 19.7 КоАП РФ Наложение административного штрафа за неуведомление Роскомнадзора: Граждане: 100–300 руб. Должностные лица и ИП: 300–500 руб. Юридические лица: 3–5 тыс. руб. |
Ч. 10 ст. 13.11 КоАП РФ Наложение административного штрафа за неуведомление, а также несвоевременное уведомление Роскомнадзора о том, что планируется обработка персональных сведений:
Ч. 11 ст. 13.11 КоАП РФ Наложение административного штрафа за неуведомление Роскомнадзора о случаях установления факта утечки персональных сведений:
|
Доказан факт утечки данных |
Ст. 13.11. КоАП РФ Наложение административного штрафа за факт утечки данных: Граждане: 2–6 тыс. руб. Должностные лица: 10–20 тыс. руб. Юрлица: 60–100 тыс. руб. Наложение административного штрафа за повторное нарушение: Граждане: 4–12 тыс. руб. Должностные лица: 20–50 тыс. руб. ИП: 50–100 тыс. руб. Юрлица: 100–300 тыс. руб. |
Чч. 12–17 ст. 13.11 КоАП РФ Наложение административного штрафа за действия или бездействие оператора ПДн, повлекшие утечку персональных данных Ч. 12 ст. 13.11 КоАП РФ Наложение административного штрафа за утечку 1–10 тыс. субъектов ПДн и/или от 10–100 тыс. уникальных идентификаторов:
Ч. 13 ст. 13.11 КоАП РФ Наложение административного штрафа за утечку 10–100 тыс. субъектов и/или от 100 тыс. – 1 млн идентификаторов:
Ч. 14 ст. 13.11 КоАП РФ Наложение административного штрафа за утечку более 100 тыс. субъектов и/или более 1 млн идентификаторов:
Ч. 15 ст. 13.11 КоАП РФ Наложение административного штрафа за повторную утечку ПДн:
Ч. 16 ст. 13.11 КоАП РФ Наложение административного штрафа за утечку информации, содержащей специальные категории персональных данных:
Ч. 17 ст. 13.11 КоАП РФ Наложение административного штрафа за повторную утечку информации, содержащей специальные категории персональных данных:
|
С другой стороны, законодатели предусмотрели уголовную ответственность киберпреступников и инсайдеров за незаконные действия с персональными данными. Проектом федерального закона № 502113-8, также принятым в первом чтении, предлагается дополнить УК РФ новой статьей 272.1.
Часть 1 этой статьи предусматривает санкции за сбор, использование, передачу и хранение в цифровом виде персональных данных, полученных незаконным путем, в виде наложения штрафа в размере до 300 тыс. рублей, а также наказание в виде принудительных работ или лишения свободы на срок до 4 лет.
Часть 2 статьи 272.1 УК РФ возлагает ответственность за неправомерное использование персональных данных, если они являются специальными (содержат информацию о расе, национальности, болезнях и подобные сведения) или биометрическими (отпечатки пальцев, анализы ДНК и проч.). Такое нарушение будет грозить наложением штрафа до 700 тыс. рублей, принудительными работами или лишением свободы на срок до 5 лет.
Часть 3 статьи 272.1 УК РФ также предусматривает усиление ответственности, если обстоятельствами преступления были:
В этом случае с нарушителя будет взыскиваться штраф в размере до 1 млн рублей или его ждет лишение свободы на срок до 6 лет.
Часть 4 статьи 272.1 УК РФ устанавливает ответственность за нарушение норм закона в сфере трансграничной передачи персональных данных с наложением штрафа до 2 млн рублей и лишением свободы до 8 лет.
Часть 5 статьи 272.1 УК РФ повышает ответственность, если нарушение порядка обработки незаконное использование персональных данных персональных данных повлекло причиненные тяжких последствий, а также если преступление совершено организованной группой. В этом случае штраф возрастет до 3 млн рублей, а срок лишения свободы – до 10 лет.
Часть 6 статьи 272.1 УК РФ предусматривает ответственность за создание информационных ресурсов и вредоносных программ для хранения, обработки и распространения персональных данных. Меры наказания при этом будут следующие: штраф – до 700 тыс. рублей, срок лишения свободы – до 5 лет.
Регулятор рассчитывает, что принятие законопроекта не только позволит привлекать к уголовной ответственности злоумышленников за незаконные действия с персональными данными и даст основание для принятия заявлений потерпевших, но и станет превентивной мерой для предотвращения киберпреступлений в этой сфере.
Ужесточение мер ответственности операторов персональных данных, включая оборотные штрафы, призвано повысить внимание компаний к процессам сбора, обработки и хранения персональных данных и обеспечить безопасность информации комплексом технических средств для противодействия утечкам.
Статистика последних лет показывает, что каждая пятая утечка персональных данных происходит по вине сотрудников компаний. Недовольные условиями труда, оказавшиеся в сложной финансовой ситуации работники, игроманы и прочие зависимые от «нехороших» привычек люди – все они могут поддаться на уговоры преступников и передать им доступ в информационные системы организации или слить базу с персональными данными.
Для защиты от утечек чувствительных данных по вине инсайдеров и недопущения взыскания оборотных штрафов компании внедряют DLP-решения. DLP-система – это программный комплекс, который позволяет отслеживать действия пользователей на рабочих станциях, предотвращать утечки информации за периметр компании, а также ставить на особый контроль сотрудников из групп риска.
DLP-система Solar Dozor – инструмент для профилактики, обнаружения и расследования инцидентов информационной и экономической безопасности, который поможет защитить ценные данные компании и персональные данные ее клиентов, партнеров и сотрудников от неправомерных действий инсайдеров.
Ключевые возможности Solar Dozor для защиты персональных данных от утечек:
Возможности и технологии DLP-систем стремительно развиваются, обеспечивая своевременное реагирование на нелегитимную обработку информации и предотвращение ее несанкционированной передачи. Solar Dozor – одно из эффективных средств защиты от утечек информации, которое поможет избежать санкций в виде оборотных штрафов за утечку персональных данных.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.