В ноябре 2024 года были утверждены поправки в КоАП РФ, которые существенно ужесточили санкции за утечки персональных данных граждан (ПД). Для компаний, которые обрабатывают ПД, это обстоятельство, которое нельзя игнорировать.
За утечку персональных данных теперь предусмотрены более высокие штрафы — в среднем в три раза выше прежних. Кроме того, введена ответственность за непредоставление Роскомнадзору информации об обработке персональных данных или об инциденте с утечкой данных. Размер штрафа может достигать 15 миллионов рублей — в зависимости от количества пострадавших.
Если произошла утечка специальных категорий персональных данных, юридические лица должны будут заплатить штраф от 10 до 15 миллионов рублей, независимо от количества пострадавших. Утечка биометрических данных повлечет за собой штраф от 15 до 20 миллионов рублей — уже вне зависимости от объема утечки.
А вот повторное нарушение может повлечь за собой наложение штрафа в размере от 25 до 500 миллионов рублей.
В некоторых ситуациях предусмотрена уголовная ответственность. Так, в Уголовный кодекс РФ введена новая статья 272.1, которая регулирует вопросы, связанные с использованием, сбором, передачей, хранением персональных данных. Статья предусматривает наказание в виде лишения свободы на срок до 10 лет с возможным штрафом до 3 миллионов рублей, если нарушение привело к тяжким последствиям. Если действия были осуществлены организованной группой, также предусмотрена уголовная ответственность.
Поправки вступят в силу через месяц — 30 мая 2025 года.
Никогда в истории утечки данных так дорого не обходились российским компаниям.
Смягчающие обстоятельства в случае утечки данных — для уменьшения размера штрафов
К сожалению, сегодня даже самое дорогостоящее решение не может гарантировать 100%-ную защиту конфиденциальных данных — и вряд ли его когда-либо изобретут. Поэтому любые операторы должны иметь план действий в случае утечки ПД.
Что учитывать?
Наличие у оператора документально подтвержденной информации о том, что меры по обеспечению защиты данных были соблюдены — это один из ключевых смягчающих факторов. В качестве примера подтверждающего документа можно привести результаты оценки эффективности реализованных мер.
Важно! Для признания документального подтверждения действительным, оно должно быть выдано не позднее чем за год до инцидента с утечкой данных.
Если оператор вложил существенные финансовые средства в обеспечение информационной безопасности, это также будет рассматриваться как смягчающее обстоятельство. При этом принятые меры должны проводиться лицензиатами ФСТЭК России и/или ФСБ России. Годовые затраты должны составлять не менее 0,1% от совокупной выручки оператора за год. В качестве примера вложений можно назвать закупку сертифицированных средств защиты информации, в том числе DLP-систем, проведение ИБ-аудитов лицензиатами и проч.
Такие меры и вложения демонстрируют регуляторам, что оператор предпринимал попытки защитить данные.
В заключение
Как уже говорилось выше, не существует аппаратного или программного средства, которое могло бы на 100% защитить конфиденциальную информацию. Киберкриминальные группировки активно эксплуатируют так называемый человеческий фактор, чтобы получить доступ к информации: распространяют фишинговые ссылки и приложения для хищения данных доступа к информационным системам, подкупают действующих сотрудников, имеющих необходимые привилегии, используют нейросети для создания высококачественных дипфейков для реализации схем социальной инженерии и проч.
Внедрение средств предотвращения утечек, в том числе DLP-систем, позволит существенно сократить риски эксфильтрации данных, а также даст возможность показать регуляторам, что меры были приняты — если это все-таки потребуется.