Оборотные штрафы за утечки персональных данных

Законопроект № 502104-8 о внесении изменений в КОАП РФ может повысить уровень ответственности компаний, ИП и должностных лиц за нарушение порядка обработки ПДн.

Проблема утечки персональных данных в последние два года значительно усугубилась, атаки на коммерческие организации и госпредприятия с целью кражи сведений о физлицах участились. По данным Роскомнадзора, в 2023 году в открытом доступе было обнаружено более 300 миллионов таких записей.

Как злоумышленники используют персональные данные

Проблема нелегитимного доступа и распространения персданных представляет угрозу не только для владельцев этих данных, но и наносит ущерб самим компаниям, из которых данные были похищены. Помимо коммерческой выгоды от продажи этих данных или их использования в преступных целях, замыслом злоумышленников зачастую является причинение их владельцам репутационного ущерба. Также кража персданных, например, клиентских баз, списков партнеров может повлиять на отношения с контрагентами, конкурентоспособность и финансовые планы компаний.

Кражи данных происходят как из-за найденных киберпреступниками уязвимостей в программном обеспечении операторов ПДн, так и по вине инсайдеров – сотрудников компаний, которые предоставляют доступ к сведениям или передают базы данных по неосторожности или умышленно. Мошенники ведут целенаправленный поиск инсайдеров в финансовых организациях, страховых компаниях, мобильных операторах, медучреждениях, в сфере ретейла, ИТ- и других компаниях, обрабатывающих большое количество данных физических лиц.

Злоумышленники оперируют широким набором проверенных мошеннических схем с использованием персональных данных для получения денежных средств от жертв. При этом персональные данные используются как точечно, например при звонках мошеннических колл-центров или отправке фейковых адресных сообщений от имени коллег и друзей, так и с целью массовых атак, таких как спам и фишинг.

Социальная инженерия, несмотря на, казалось бы, более сложную схему мошенничества, приобретает все большие масштабы. Пострадавшими становятся уже не только люди, далекие от цифровой жизни, но и известные личности, главы компаний, офисные работники. К сожалению, сценарии злоумышленников развиваются вместе с технологиями. Мошенники освоили возможности искусственного интеллекта, активно используют дипфейки.

Количество инцидентов с использованием социальной инженерии неуклонно растет, поэтому важность защиты персональных данных активно обсуждается законотворцами не первый год, расширяется список мер для недопущения утечек, ужесточаются штрафы операторов ПДн за нарушения.

Законопроект об оборотных штрафах за утечки персональных данных

В Госдуме идет работа над законопроектом № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части усиления ответственности за нарушение порядка обработки персональных данных)», который общественность и СМИ чаще называет «законопроектом об оборотных штрафах за утечки данных».

Законопроект предлагает усилить ответственность внесением поправок в статью 13.11 КоАП «Нарушение в области персональных данных». Ключевые пункты этого документа:

1. Введение штрафов за неуведомление Роскомнадзора о случаях утечек персональных данных.

Эта обязанность установлена Федеральным законом от 14.07.2022 № 266-ФЗ, который вносит соответствующие изменения в 152-ФЗ «О персональных данных». Также 266-ФЗ сократил перечень исключений в отношении персональных данных, которые оператор может обрабатывать без уведомления уполномоченного органа, то есть Роскомнадзора.

2. Усиление ответственности и введение оборотных штрафов за допущение утечек персональных данных.

В настоящее время часть 1 статьи 13.11 КоАП РФ предусматривает максимальный размер штрафа для юридических лиц до 100 тыс. руб., а при повторном совершении административного правонарушения – до 300 тыс. руб.

Уплата такого штрафа обходится компаниям дешевле, чем внедрение комплекса технических мер для противодействия утечкам и не соразмерен с возможными последствиями для владельцев украденных персональных данных. Законотворцы надеются, что новые меры, вплоть до оборотных штрафов, простимулируют операторов персональных данных развивать инфраструктуру информационной безопасности и защиту данных своих пользователей.

Размер штрафа будет зависеть от объема похищенной информации: количества субъектов персональных данных в украденной базе и/или количества уникальных идентификаторов – сведений о физлицах, необходимых для определения таких лиц.

Сравнительная таблица изменений в КоАП РФ, инициированных законодателем

Уголовная ответственность за незаконное использование персональных данных

С другой стороны, законодатели предусмотрели уголовную ответственность киберпреступников и инсайдеров за незаконные действия с персональными данными. Проектом федерального закона № 502113-8, также принятым в первом чтении, предлагается дополнить УК РФ новой статьей 272.1.

Часть 1 этой статьи предусматривает санкции за сбор, использование, передачу и хранение в цифровом виде персональных данных, полученных незаконным путем, в виде наложения штрафа в размере до 300 тыс. рублей, а также наказание в виде принудительных работ или лишения свободы на срок до 4 лет.

Часть 2 статьи 272.1 УК РФ возлагает ответственность за неправомерное использование персональных данных, если они являются специальными (содержат информацию о расе, национальности, болезнях и подобные сведения) или биометрическими (отпечатки пальцев, анализы ДНК и проч.). Такое нарушение будет грозить наложением штрафа до 700 тыс. рублей, принудительными работами или лишением свободы на срок до 5 лет.

Часть 3 статьи 272.1 УК РФ также предусматривает усиление ответственности, если обстоятельствами преступления были:

• корыстная заинтересованность;
• причинение крупного ущерба;
• предварительный сговор группы лиц;
• использование злоумышленником своего служебного положения.

В этом случае с нарушителя будет взыскиваться штраф в размере до 1 млн рублей или его ждет лишение свободы на срок до 6 лет.

Часть 4 статьи 272.1 УК РФ устанавливает ответственность за нарушение норм закона в сфере трансграничной передачи персональных данных с наложением штрафа до 2 млн рублей и лишением свободы до 8 лет.

Часть 5 статьи 272.1 УК РФ повышает ответственность, если нарушение порядка обработки незаконное использование персональных данных персональных данных повлекло причиненные тяжких последствий, а также если преступление совершено организованной группой. В этом случае штраф возрастет до 3 млн рублей, а срок лишения свободы – до 10 лет.

Часть 6 статьи 272.1 УК РФ предусматривает ответственность за создание информационных ресурсов и вредоносных программ для хранения, обработки и распространения персональных данных. Меры наказания при этом будут следующие: штраф – до 700 тыс. рублей, срок лишения свободы – до 5 лет.

Регулятор рассчитывает, что принятие законопроекта не только позволит привлекать к уголовной ответственности злоумышленников за незаконные действия с персональными данными и даст основание для принятия заявлений потерпевших, но и станет превентивной мерой для предотвращения киберпреступлений в этой сфере.

Предотвращение утечек персональных данных по вине сотрудников

Ужесточение мер ответственности операторов персональных данных, включая оборотные штрафы, призвано повысить внимание компаний к процессам сбора, обработки и хранения персональных данных и обеспечить безопасность информации комплексом технических средств для противодействия утечкам.

Статистика последних лет показывает, что каждая пятая утечка персональных данных происходит по вине сотрудников компаний. Недовольные условиями труда, оказавшиеся в сложной финансовой ситуации работники, игроманы и прочие зависимые от «нехороших» привычек люди – все они могут поддаться на уговоры преступников и передать им доступ в информационные системы организации или слить базу с персональными данными.

Для защиты от утечек чувствительных данных по вине инсайдеров и недопущения взыскания оборотных штрафов компании внедряют DLP-решения. DLP-система – это программный комплекс, который позволяет отслеживать действия пользователей на рабочих станциях, предотвращать утечки информации за периметр компании, а также ставить на особый контроль сотрудников из групп риска.

Как избежать оборотных штрафов за утечку персональных данных

DLP-система Solar Dozor – инструмент для профилактики, обнаружения и расследования инцидентов информационной и экономической безопасности, который поможет защитить ценные данные компании и персональные данные ее клиентов, партнеров и сотрудников от неправомерных действий инсайдеров.

Ключевые возможности Solar Dozor для защиты персональных данных от утечек:

• Контентный анализ хранимых и передаваемых данных на наличие конфиденциальной информации. В том числе контроль идентификаторов (IDID, ID identification) – с помощью распознавания в сообщениях определенной последовательности цифр или букв, характерной, в частности, для уникальных персональных данных: ИНН, СНИЛС, реквизиты карт, паспортные сведения и проч. Выявление цифровых отпечатков (DiFi, Digital Fingerprints) – сравнение текстовых, графических и табличных данных с эталонными документами, благодаря чему можно найти целиком или частично скопированные базы клиентов, списки персональных данных и т. д. А также поиск конфиденциальных сведений по графическим шаблонам, например, изображений паспортов или платежных карт.
• Мониторинг коммуникаций сотрудников как внутри компании, так и с внешними адресатами для выявления скрытых конфликтов и неправомерной передачи сведений через почту, мессенджеры, демонстрацию экрана при ВКС и т. д.
• Контроль и блокировка печати и копирования конфиденциальной информации на съемные носители, в том числе на смартфоны через USB-подключение, а также в облачные хранилища.
• Проверка жестких дисков рабочих станций, локальных серверов и облачных хранилищ на нарушение правил хранения чувствительной информации, в том числе персональных данных. При обнаружении данных в неположенном месте система уведомит офицера безопасности, переместит файл в карантин и создаст на его месте заглушку.
• Выявление нетипичного поведения пользователей: работа ночью, повышение интенсивности коммуникаций с внешними адресатами, признаки увольнения и т. д. – для более пристального мониторинга действий сотрудников и предотвращения потенциального инцидента.

Возможности и технологии DLP-систем стремительно развиваются, обеспечивая своевременное реагирование на нелегитимную обработку информации и предотвращение ее несанкционированной передачи. Solar Dozor – одно из эффективных средств защиты от утечек информации, которое поможет избежать санкций в виде оборотных штрафов за утечку персональных данных.