Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеФедеральный закон от 30.11.2024 г. № 420-ФЗ о внесении изменений в КОАП РФ повышает уровень ответственности компаний, ИП и должностных лиц за нарушение порядка обработки ПДн.
Проблема утечки персональных данных в последние два года значительно усугубилась, атаки на коммерческие организации и госпредприятия с целью кражи сведений о физлицах участились. По данным Роскомнадзора, в 2023 году в открытом доступе было обнаружено более 300 миллионов таких записей.
Как злоумышленники используют персональные данные
Нелегитимный доступ к персданным и их распространение представляет не только серьезную угрозу для физлиц, но и наносит ущерб самим компаниям, из которых сведения были похищены. Помимо получения коммерческой выгоды от продажи данных или их использования в преступных целях, злоумышленники зачастую стремятся причинить пострадавшему оператору персональных данных репутационный ущерб. Также кража персональных данных, например, клиентских баз, списков партнеров может повлиять на отношения с контрагентами, конкурентоспособность и финансовые планы компаний.
Кражи данных происходят как из-за найденных киберпреступниками уязвимостей в программном обеспечении операторов ПДн, так и по вине инсайдеров – сотрудников компаний, которые имеют доступ к сведениям и передают базы данных по неосторожности или умышленно. Мошенники ведут целенаправленный поиск и психологическую обработку инсайдеров в финансовых организациях, страховых компаниях, операторах мобильной связи, медучреждениях, в сфере ретейла, ИТ- и других компаниях, обрабатывающих большое количество данных физических лиц.
Злоумышленники оперируют широким набором проверенных мошеннических схем с использованием персональных данных для получения денежных средств от жертв. При этом персональные данные используются как точечно, например при звонках из мошеннических колл-центров или отправке фейковых адресных сообщений от имени коллег и друзей, так и с целью массовых атак, таких как спам и фишинг.
Социальная инженерия, несмотря на, казалось бы, более сложную схему мошенничества, приобретает все большие масштабы. Пострадавшими становятся уже не только люди, далекие от цифровой жизни, но и известные личности, главы компаний, офисные работники. К сожалению, инструментарий злоумышленников развивается вместе с технологиями – мошенники быстро осваивают методы искусственного интеллекта, активно используют дипфейки.
В третьем квартале 2024 года Центробанк зафиксировал более 20 тысяч попыток мошеннических операций с использованием разных приемов социальной инженерии, направленных на клиентов финансовых организаций.
Количество инцидентов с использованием социальной инженерии неуклонно растет, поэтому важность защиты персональных данных активно обсуждается законотворцами не первый год, расширяется список мер для недопущения утечек, ужесточаются штрафы операторов ПДн за нарушения.
Закон об оборотных штрафах за утечки персональных данных
Госдума на протяжении 2024 года работала над законопроектом № 502104-8 «О внесении изменений в Кодекс РФ об административных правонарушениях (в части усиления ответственности за нарушение порядка обработки персональных данных)», который в общественных кругах и СМИ чаще называется законопроектом об оборотных штрафах за утечки данных. Итогом многомесячной деятельности депутатов стал Федеральный закон от 30.11.2024 № 420-ФЗ, который вступит в силу 30 мая 2025 года.
Обновленный закон повышает ответственность операторов персональных данных, в частности, за счет внесения поправок в статью 13.11 КоАП «Нарушение в области персональных данных». Ключевые пункты этого документа:
1. Введение штрафов за неуведомление Роскомнадзора о случаях утечек персональных данных.
Эта обязанность установлена Федеральным законом от 14.07.2022 № 266-ФЗ, который вносит соответствующие изменения в 152-ФЗ «О персональных данных». Также 266-ФЗ сократил перечень исключений в отношении персональных данных, которые оператор может обрабатывать без уведомления уполномоченного органа, то есть Роскомнадзора.
2. Усиление ответственности и введение оборотных штрафов за допущение утечек персональных данных.
В настоящее время часть 1 статьи 13.11 КоАП РФ предусматривает максимальный размер штрафа для юридических лиц до 100 тыс. руб., а при повторном совершении административного правонарушения – до 300 тыс. руб.
Законотворцы считают, что уплата такого штрафа обходится компаниям дешевле, чем внедрение комплекса технических мер для противодействия утечкам, и не соразмерна возможным последствиям для владельцев украденных персональных данных. Новые меры, вплоть до оборотных штрафов, должны простимулировать операторов персональных данных развивать инфраструктуру информационной безопасности и защиту данных своих пользователей.
Как 420-ФЗ изменит КоАП РФ и ответственность операторов ПДн
Размер штрафа будет зависеть от нескольких факторов:
- Объем утечки – количество субъектов персональных данных в похищенной базе и/или количество уникальных идентификаторов – сведений о физлицах, необходимых для определения таких лиц.
- Наличие в похищенной информации биометрических или персональных данных специальной категории: расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, факты личной жизни, судимости и т. п.
- Повторное допущение утечки персональных данных юридическим, должностным или физическим лицом, ранее подвергнутым административному наказанию за подобные правонарушения в части защиты персональных данных.
Закон предусматривает ответственность индивидуальных предпринимателей наравне с юридическими лицами.
Сравнительная таблица изменения в КОАП РФ:
|
Ответственность до вступления в силу |
Ответственность после вступления в силу |
|
Непредоставление уведомлений в Роскомнадзор |
|
|---|---|
|
Ст. 19.7 КоАП РФ Штраф за неуведомление Роскомнадзора:
|
Ч. 10 ст. 13.11 КоАП РФ Штраф за неуведомление, а также несвоевременное уведомление Роскомнадзора о том, что планируется обработка персональных сведений:
Ч. 11 ст. 13.11 КоАП РФ Штраф за неуведомление Роскомнадзора о случаях установления факта утечки персональных сведений:
|
|
Доказан факт утечки данных |
|
|
Ст. 13.11. КоАП РФ Штраф за факт утечки данных:
Штраф за повторное нарушение:
|
Штрафы за действия или бездействие оператора ПДн, повлекшие утечку персональных данных, перечислены в частях 12–18 статьи 13.11 КоАП РФ. Ч. 12 ст. 13.11 КоАП РФ Штраф за утечку 1–10 тыс. субъектов ПДн и/или 10–100 тыс. уникальных идентификаторов:
Ч. 13 ст. 13.11 КоАП РФ Штраф за утечку 10–100 тыс. субъектов и/или 100 тыс. – 1 млн идентификаторов:
Ч. 14 ст. 13.11 КоАП РФ Штраф за утечку более 100 тыс. субъектов и/или более 1 млн идентификаторов:
Ч. 15 ст. 13.11 КоАП РФ Штраф за повторную утечку ПДн в соответствии с чч. 12–14:
Ч. 16 ст. 13.11 КоАП РФ Штраф за утечку информации, содержащей специальные категории ПДн:
Ч. 17 ст. 13.11 КоАП РФ Штраф за утечку информации, включающей биометрические ПДн:
Ч. 18 ст. 13.11 КоАП РФ Штраф за утечку информации, содержащей специальные категории персональных данных и/или биометрические данные, если ранее были административные наказания за утечки ПДн разного рода в соответствии с чч. 12–17:
|
При этом статья 4.1 «Общие правила назначения административного наказания» дополнена частью 34-2, которая смягчает санкции при утечке специальных или биометрических персональных данных.
Размер штрафа снижается до 0,1 от его минимального размера за соответствующее нарушение, но может составлять не менее пятнадцати миллионов рублей и не более пятидесяти миллионов рублей, если исполнены одновременно следующие условия:
1) ежегодные расходы оператора в течение трех предыдущих лет на обеспечение информационной безопасности с помощью лицензированных организаций составляли не менее 0,1% от годовой выручки;
2) документально подтверждено, что за предшествующий год оператор соблюдал законодательные требования к защите персональных данных при их обработке в информационных системах;
3) ранее у виновника не было нарушений в части сбора и обработки персональных данных, своевременных оповещений Роскомнадзора, а также соблюдались правила информирования граждан о политике оператора в отношении работы с ПДн и уничтожения/блокирования персданных в информационных системах по требованию.
Уголовная ответственность за незаконное использование персональных данных
Помимо административного воздействия законодатели предусмотрели усиление мер уголовной ответственности в отношении киберпреступников и инсайдеров за незаконные действия с персональными данными. Федеральный закон № 421-ФЗ от 30 ноября 2024 года дополняет УК РФ новой статьей 272.1, и эти изменения уже вступили в силу.
Часть 1 этой статьи предусматривает санкции за сбор, использование, передачу и хранение в цифровом виде персональных данных, полученных незаконным путем, в виде наложения штрафа в размере до 300 тыс. рублей, принудительных работ или лишения свободы на срок до 4 лет.
Часть 2 статьи 272.1 УК РФ ужесточает ответственность, если данные включают информацию о несовершеннолетних лицах, специальные или биометрические сведения. Такое отягченное нарушение грозит наложением штрафа до 700 тыс. рублей, принудительными работами или лишением свободы на срок до 5 лет.
Часть 3 статьи 272.1 УК РФ также предусматривает усиление ответственности, если обстоятельствами преступления были:
- корыстная заинтересованность;
- причинение крупного ущерба;
- предварительный сговор группы лиц;
- использование злоумышленником своего служебного положения.
В этом случае с нарушителя будет взыскиваться штраф в размере до 1 млн рублей. С административным взысканием могут суммироваться принудительные работы до 5 лет или лишение свободы на срок до 6 лет. Также наказание может включать запрет определенной деятельности на срок до трех лет.
Часть 4 статьи 272.1 УК РФ устанавливает ответственность за нарушение норм закона в сфере трансграничной передачи персональных данных наложением штрафа до 2 млн рублей и лишением свободы до 8 лет.
Часть 5 статьи 272.1 УК РФ повышает ответственность, если нарушение порядка обработки и незаконное использование персональных данных повлекло причиненные тяжких последствий, а также если преступление совершено организованной группой. В этом случае штраф возрастет до 3 млн рублей, а срок лишения свободы – до 10 лет.
Часть 6 статьи 272.1 УК РФ предусматривает ответственность за создание информационных ресурсов и вредоносных программ для хранения, обработки и распространения персональных данных. Мерой наказания при этом будет штраф до 700 тыс. рублей. Штраф также может быть совмещен с принудительными работами или лишением свободы на срок до пяти лет.
Регулятор рассчитывает, что 421-ФЗ не только позволит привлекать к уголовной ответственности злоумышленников за незаконные действия с персональными данными и даст основание для принятия заявлений потерпевших, но и станет превентивной мерой для предотвращения киберпреступлений в этой сфере.
Предотвращение утечек персональных данных по вине сотрудников
Ужесточение мер ответственности операторов персональных данных, включая оборотные штрафы, призвано повысить внимание компаний к процессам сбора, обработки и хранения персональных данных и обеспечить безопасность информации с помощью комплекса технических средств, противодействующих утечкам.
Статистика последних лет показывает, что каждая пятая утечка персональных данных происходит по вине сотрудников компаний. Недовольные условиями труда, оказавшиеся в сложной финансовой ситуации работники, игроманы и прочие зависимые от «нехороших» привычек люди – все они могут поддаться на уговоры преступников и передать им доступ в информационные системы организации или слить базу с персональными данными.
Для защиты от утечек чувствительных данных по вине инсайдеров и недопущения взыскания оборотных штрафов компании внедряют DLP-решения. DLP-система – это программный комплекс, который позволяет отслеживать действия пользователей на рабочих станциях, предотвращать утечки информации за периметр компании, произошедшие из-за халатности или по злому умыслу сотрудников, а также ставить на особый контроль сотрудников из групп риска.
Как избежать оборотных штрафов за утечку персональных данных
DLP-система Solar Dozor – инструмент для профилактики, обнаружения и расследования инцидентов информационной и экономической безопасности, который поможет защитить ценные сведения компании и персональные данные ее клиентов, партнеров и сотрудников от неправомерных действий инсайдеров.
Ключевые возможности Solar Dozor для защиты персональных данных от утечек:
- Мониторинг коммуникаций сотрудников как внутри компании, так и с внешними адресатами для выявления скрытых конфликтов и неправомерной передачи сведений через почту, мессенджеры, демонстрацию экрана при ВКС и т. д.
- Контентный анализ хранимых и передаваемых данных на наличие конфиденциальной информации, включая контроль идентификаторов (IDID, ID identification) – с помощью распознавания в сообщениях определенной последовательности цифр или букв, характерной, в частности, для уникальных персональных данных: ИНН, СНИЛС, реквизиты карт, паспортные сведения и проч.; выявление цифровых отпечатков (DiFi, Digital Fingerprints) – сравнение текстовых, графических и табличных данных с эталонными документами, благодаря чему можно найти целиком или частично скопированные базы клиентов, списки персональных данных и т. д.; а также поиск конфиденциальных сведений по графическим шаблонам, например, изображений паспортов или платежных карт.
- Контроль и блокировка печати и копирования конфиденциальной информации на съемные носители, в том числе на смартфоны через USB-подключение, а также в облачные хранилища.
- Проверка жестких дисков рабочих станций, локальных серверов и облачных хранилищ на нарушение правил хранения чувствительной информации, в том числе персональных данных. При обнаружении этих сведений в неположенном месте система уведомит офицера безопасности, переместит файл в карантин и создаст на его месте заглушку.
- Выявление нетипичного поведения пользователей: работа ночью, повышение интенсивности коммуникаций с внешними адресатами, признаки увольнения и т. д. – для более пристального мониторинга действий сотрудников из групп риска и предотвращения потенциального инцидента.
- Расследование инцидентов, установление личности нарушителя и контекста событий. Автоматизированный процесс расследования от обнаружения инцидента, открытия дела, сбора доказательной базы и до формирования отчета – в едином мультиинструментальном модуле Dozor Detective. Обстоятельства инцидента фиксируются и доступны на таймлайне в плеере 4D.
Возможности и технологии DLP-систем стремительно развиваются, обеспечивая своевременное реагирование на нелегитимную обработку информации и предотвращение ее несанкционированной передачи. Solar Dozor – одно из эффективных средств защиты от утечек информации, которое поможет избежать санкций в виде оборотных штрафов за утечку персональных данных.
