Найти в Дзене
Secure Defence - Ваша кибербезопасность
11 подписчиков

За утечку ваших данных теперь могут посадить? 🚨 История с Казахстаном это зеркало для России

10 мин
Когда звонят из «службы безопасности банка» и с ходу называют меня по имени-отчеству, паспортные данные и сумму последнего кредита.
Масштабной, вульгарной и совершенно безнаказанной. А теперь представьте, что за такую «ошибку» оператора или взломанную базу данных директору компании грозит реальный срок. Не штраф в пару сотен тысяч, а уголовная статья. Фантастика? В Казахстане это скоро может стать реальностью. И это не просто новость из соседнего государства — это прямой сигнал для всех CISO и владельцев бизнеса в России. Сейчас объясню, почему эта история касается лично вас и как не попасть под раздачу, когда у нас примут аналогичные законы. Казахстан, после двух чудовищных утечек, которые затронули почти всё население, официально обсуждает введение уголовной ответственности за массовые утечки персональных данных. Инициатива исходит от Министерства искусственного интеллекта и цифрового развития. По сути, они хотят почти в 2.5 раза поднять штрафы — с примерно 1.5 млн рублей до 4 млн
Оглавление
Ужесточение ответственности за утечки персональных данных
Ужесточение ответственности за утечки персональных данных

Когда звонят из «службы безопасности банка» и с ходу называют меня по имени-отчеству, паспортные данные и сумму последнего кредита.

Это не случайность. Это результат утечки.


Масштабной, вульгарной и совершенно безнаказанной. А теперь представьте, что за такую «ошибку» оператора или взломанную базу данных директору компании грозит реальный срок. Не штраф в пару сотен тысяч, а уголовная статья. Фантастика? В Казахстане это скоро может стать реальностью. И это не просто новость из соседнего государства — это прямой сигнал для всех CISO и владельцев бизнеса в России. Сейчас объясню, почему эта история касается лично вас и как не попасть под раздачу, когда у нас примут аналогичные законы.

Что там у соседей?

Казахстан, после двух чудовищных утечек, которые затронули почти всё население, официально обсуждает введение уголовной ответственности за массовые утечки персональных данных. Инициатива исходит от Министерства искусственного интеллекта и цифрового развития. По сути, они хотят почти в 2.5 раза поднять штрафы — с примерно 1.5 млн рублей до 4 млн — и ввести реальные сроки для виновных в крупных инцидентах. Чувствуете разницу в подходе? Раньше — «ну, заплатите и ладно». Теперь — «сядете». И знаете, что самое интересное? Это не их внутреннее дело. Это точный показатель глобального тренда на ужесточение, который неминуемо доберётся и до нас. У нас тоже ведь любят говорить: «У нас есть 152-ФЗ, мы в безопасности». Ха. Смешно, честно.

Я как-то разбирал инцидент в одной ритейл-сети. База клиентов «утекла» к конкурентам.

И что вы думаете? Руководство сначала пыталось списать на «злого хакера», потом на «уволенного недобросовестного сотрудника». При детальном разборе выяснилось, что пароль от базы данных был… «123456», а доступ был открыт из публичной сети офиса. Штраф от Роскомнадзора они, конечно, получили. Но сравнимо ли это с теми миллионами, которые они потеряли из-за ухода клиентов и репутационного удара? Нет. Именно поэтому одних штрафов НЕДОСТАТОЧНО. Нужна персональная ответственность. Как в Казахстане сейчас пытаются сделать.

А теперь давайте о главном — о нашей российской практике.

Мы все живём в условиях 152-ФЗ, ФСТЭК, приказов по КИИ. Но часто ли вы слышали, чтобы за утечку данных кто-то реально понёс серьёзное наказание, кроме символического штрафа? Я — нет. И в этом проблема. У нас огромное внимание уделяется формальному соответствию: вот чек-лист из 100 пунктов, отметили галочки — отчёт готов. А реальная безопасность данных? Она где-то на заднем плане. Казахстанский сдвиг — это как раз попытка переломить эту логику. Они хотят, чтобы защита персональных данных стала не статьёй расходов, а КРИТИЧЕСКИ ВАЖНЫМ ПРИОРИТЕТОМ, от которого зависит свобода руководителей. Жёстко? Да. Но, возможно, только так бизнес и госорганы начнут относиться к данным людей не как к абстрактному активу, а как к чему-то сакральному, за что влетит по-крупному.

Честно говоря, я немного завидую такой прямоте.

Это как, наконец-то, сказать всем: «Ребята, пора взрослеть». Цифровая трансформация — это не только про удобные госуслуги и онлайн-кредиты. Это ещё и про чудовищные риски, которые мы до сих пор системно недооцениваем. Утечка данных 16 миллионов человек — это ведь не просто цифра в новости. Это 16 миллионов историй о том, как кому-то названивают мошенники, как кто-то потерял деньги, как чья-то частная жизнь стала публичной. Это реальный вред. И если государство хочет защитить своих граждан, то мягкие меры тут не работают. Нужна серьёзная мотивация для тех, кто эти данные обрабатывает.

Что это значит для вас, если вы руководитель ИБ в компании или владелец бизнеса?

Всё очень просто. Те подходы к защите персональных данных, которые работали вчера, завтра могут оказаться не просто недостаточными, а стать билетом в суд. Нужно пересматривать стратегию. Не с точкички «как пройти проверку», а с точки зрения «как сделать так, чтобы при любой атаке или ошибке мы не попали под уголовную статью». Это совершенно другой уровень глубины.

По своему опыту скажу: большинство утечек происходят не из-за того, что не хватает какого-то дорогого DLP или EDR. Они происходят из-за банальных вещей: необученные сотрудники, несегрегированные сети, устаревшее ПО, пароли на стикерах. И ещё из-за иллюзии, что «нас это не коснётся». Так вот, Казахстан показывает, что коснётся ВСЕХ. И если у вас в базе больше нескольких тысяч записей, вы уже в зоне риска.

Итак, что делать? Как выстроить защиту от утечек персональных данных, чтобы спать спокойно, даже если у нас в России последуют казахстанскому примеру?

Давайте по пунктам, но не как в сухом гайде, а как я обычно объясняю заказчикам.

  1. Забудьте про «галочки». Начните с инвентаризации. Буквально сядьте и составьте список: какие именно персональные данные вы храните, ГДЕ они физически лежат (сервер, облако, ноутбук сотрудника, флешка), КТО к ним имеет доступ. Вы удивитесь, сколько всего «всплывёт». Это первый и главный шаг.
  2. Оцените риски по-взрослому. Не по шаблону ФСТЭК, а реально. Задайте себе вопрос: «А что, если эту базу украдут? Какие будут бизнес-последствия? Финансовые? Репутационные? Юридические?». Запишите ответы. Это ваша мотивация на преобразования.
  3. Внедряйте защиту не «сверху», а «изнутри». Самая прочная защита — многослойная. Начиная с шифрования дисков на всех устройствах (включая ноутбуки бухгалтерии!) и заканчивая сегментацией сети, чтобы из отдела продаж нельзя было достучаться до базы данных с паспортами.
  4. Люди — ваш главный вектор атаки. И главная линия обороны. Обучайте не раз в год по скучной презентации, а постоянно. Проводите учения по фишингу, разбирайте реальные кейсы утечек. Сделайте так, чтобы культура безопасности стала частью корпоративной ДНК.
  5. Технологии — ваши помощники, но не панацея. EDR/XDR системы, чтобы видеть аномалии на хостах. DLP, чтобы контролировать утечки через почту и флешки. SIEM, чтобы агрегировать логи и видеть картину целиком. Но помните: купить коробку и внедрить её — разные вещи.
  6. Готовьтесь к худшему. У вас должен быть отточенный план реагирования на инциденты (IRP). Кто делает первый звонок? Кто общается с регулятором? Кто пресс-секретарь? Как технически «затыкать дыру»? Прорепетируйте это. Иначе в момент ЧС будет паника.
  7. Не забывайте про «цифровой мусор». Устаревшие учётные записи уволенных сотрудников, тестовые базы данных на открытых серверах, логи с паролями в облачных хранилищах. Всё это — золотая жила для злоумышленника. Регулярная зачистка обязательна.
  8. Доверяйте, но проверяйте. Регулярно проводите пентесты. Не для галочки, а с реальными целями: «добыть базу клиентов». Наймите внешних этичных хакеров, которые посмотрят на вашу инфраструктуру свежим взглядом. Они найдут то, что вы уже не замечаете.
  9. Следите за трендами. И не только законодательными. Новые виды атак, уязвимости в популярном ПО, методы социальной инженерии. Мир ИБ меняется каждый день. Ваша система защиты должна эволюционировать вместе с ним.
  10. И главное — назначьте ответственного. Не формального «ответственного за обработку ПДн», а человека, чья голова и карьера напрямую зависят от безопасности этих данных. Только так будет настоящая заинтересованность.

Выполнили все 10 пунктов?

Отлично. Но я, по горькому опыту, знаю, что в 90% компаний на этом этап упирается в две вещи: нехватку экспертизы и бюджет. Руководство не понимает, зачем платить за «какую-то абстрактную безопасность», когда есть прямые бизнес-задачи. И вот здесь история с Казахстаном — ваш главный козырь. Теперь вы можете говорить не на языке рисков, а на языке личной уголовной ответственности. Это, поверьте, понимают все.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

А теперь давайте ответим на самые острые вопросы, которые мне постоянно задают на эту тему.

══════

FAQ: Всё, что вы боялись спросить про утечки и ответственность

  1. Правда ли, что в России тоже могут ввести уголовную ответственность, как в Казахстане?
    Всё идёт к этому. Наблюдается явный тренд на ужесточение. Сначала 187-ФЗ (про КИИ), потом постоянные поправки в 152-ФЗ, увеличение штрафов Роскомнадзора. Уголовная ответственность за массовые утечки — логичный следующий шаг, особенно на фоне учащающихся инцидентов. Я бы готовился.
  2. Кого именно могут привлечь по такой статье — директора, CISO, рядового сисадмина?
    По аналогии с другими статьями УК, скорее всего, будут искать «крайнего» — то есть лицо, ответственное за обеспечение безопасности. Формально это может быть директор. Но если в компании чётко распределены обязанности и есть приказ, назначающий, скажем, руководителя службы ИБ ответственным, то претензии могут быть к нему. Рядовой сотрудник понесёт наказание, если нарушил должностные инструкции.
  3. Что считается «массовой утечкой»? От какого количества записей начинается проблема?
    Чёткого определения в российском законе пока нет. В казахстанской инициативе, думаю, тоже будут определять порог. Обычно в мировой практике «массовой» считается утечка данных тысяч или десятков тысяч человек. Но, честно говоря, даже утечка базы в 500 клиентов для среднего бизнеса может быть катастрофой.
  4. У нас уже есть DLP. Мы защищены?
    Это как сказать: «У меня есть замок на двери, я в безопасности». DLP — важный инструмент, но только один из многих. Он не защитит от уязвимости в веб-приложении, из которой выкачают базу, или от инсайдера, который имеет легальный доступ и копирует данные по кусочкам. Нужен комплекс.
  5. Если данные хранятся у облачного провайдера, кто отвечает за утечку — мы или он?
    Один из самых сложных вопросов. По 152-ФЗ, оператор персональных данных (то есть вы) несёт ответственность перед субъектом данных и регулятором. Даже если провайдер виноват, иск придёт вам. Потом вы уже будете разбираться с ним по договору. Поэтому выбор проверенного, сертифицированного провайдера (с аттестатом ФСТЭК, ФСБ) — это не прихоть, а необходимость.
  6. Как доказать, что мы приняли все зависящие от нас меры защиты?
    Документация. Всё должно быть на бумаге (вернее, в электронном виде с ЭЦП): политики безопасности, результаты аудитов и оценок рисков, отчёты о проведённых обучениях сотрудников, записи из SIEM, отчёты о пентестах, акты об устранении уязвимостей. Эта «бумажная» работа в момент разбирательства спасёт вас.
  7. Стоит ли скрывать факт утечки от регулятора и клиентов?
    Ни в коем случае. Во-первых, это нарушение закона (ст. 16 152-ФЗ обязывает уведомлять Роскомнадзор). Во-вторых, это убивает репутацию окончательно, когда правда всё равно всплывет. Лучше честно и оперативно сообщить, параллельно предпринимая меры по минимизации ущерба для людей (например, бесплатный кредитный мониторинг).
  8. Главная причина утечек по вашему опыту?
    Человеческий фактор и устаревшая, неконтролируемая инфраструктура. Классика: сотрудник переслал файл с паспортами на свою личную почту «чтобы дома доделать», или в компании годами крутится сервер на Windows Server 2008 без обновлений, до которого всем есть дело.
  9. Мы — маленькая компания. Нас это тоже касается?
    Ещё как касается! Злоумышленники часто целятся в малый и средний бизнес, считая, что там защита слабее. А данные у вас могут быть очень «вкусные»: база клиентов премиум-сегмента, например. Плюс, штрафы по 152-ФЗ для ИП и небольших юрлиц тоже весьма ощутимы.
  10. С чего начать, если бюджет и время ограничены?
    Начните с трёх вещей: 1) Шифруйте всё, что можно. Диски ноутбуков, базы данных, бэкапы. 2) Включите многофакторную аутентификацию (MFA) везде, где только возможно: почта, CRM, облачные сервисы. 3) Проведите одно короткое, но эмоциональное обучение для всех сотрудников про фишинг и социнженерию. Это даст вам 80% результата за 20% усилий.

Итог простой, друзья.

История с ужесточением в Казахстане — это не просто новость дня. Это флаг, который показывает направление ветра. Ветер дует в сторону тотальной ответственности. Можно закрыть глаза и надеяться на «авось». А можно уже сегодня начать выстраивать такую систему защиты персональных данных, которая выдержит любой, даже самый строгий закон. Вопрос лишь в том, на чьей стороне вы хотите оказаться, когда этот закон примут.

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]