К нарушениям информационной безопасности (ИБ) приводят не только целенаправленные атаки, но и повседневные привычки сотрудников, которые кажутся безобидными. Отправка скана паспорта клиента в личный Telegram ради «скорости», использование одного пароля для всех систем, подключение к корпоративному серверу через публичный Wi-Fi — всё это типичные, но опасные нарушения. В этой статье разберём, что именно считается нарушением ИБ, какие угрозы возникают, какая ответственность грозит компании и как эффективно предотвратить риски.
Распространённые угрозы нарушения информационной безопасности
Сегодня основная угроза ИБ — не внешние хакеры, а действия сотрудников. Невинные на первый взгляд поступки создают критические уязвимости.
Работа в обход регламентов.
Сотрудник, недовольный медленной работой корпоративного облачного хранилища, регистрируется в стороннем сервисе (Google Drive, Dropbox) и пересылает туда рабочие файлы. Данные уходят за пределы контроля компании — администраторы не видят, кто получил доступ, как долго хранятся файлы, не могут удалить их при увольнении. Это прямое нарушение политики ИБ и ФЗ-152.
Успешный фишинг и социальная инженерия.
Злоумышленники используют ИИ для создания фейковых писем, звонков или голосовых сообщений, имитирующих руководителя. Сотрудник, не прошедший регулярного обучения, легко передаёт логины, пароли или совершает перевод мошеннику. Особенно опасны дипфейки — голос, звучащий как у директора, может быть воспроизведён с точностью до 98%.
Пренебрежение обновлениями.
Использование устаревшего ПО на рабочих или личных устройствах, подключённых к корпоративной сети, оставляет открытые уязвимости. Даже если система «работает», она может быть взломана через известные дыры, для которых давно выпущены патчи. Это — одна из самых распространённых причин инцидентов.
Неконтролируемое использование личных устройств.
Сотрудник обрабатывает служебные данные на личном ноутбуке или телефоне без MDM, антивируса и шифрования. При утере устройства, его краже или заражении вредоносным ПО — корпоративная информация попадает в чужие руки. Особенно рискованно, если на устройстве установлены личные мессенджеры с доступом к рабочим файлам.
Небрежное обращение с данными.
Самый массовый инцидент — отправка документа с ПДн или коммерческой тайной по ошибке: неверный адрес, случайное прикрепление, сохранение на публичный диск. Часто это делается «для быстроты», но приводит к штрафам, судебным искам и потере доверия клиентов.
Эти угрозы объединяет одно: они возникают не из злого умысла, а из-за недостаточной осведомлённости и отсутствия удобной альтернативы. Профилактика должна строиться не на запретах, а на создании безопасных, простых и интуитивных решений.
Последствия нарушения правил информационной безопасности
Административная ответственность
Несоблюдение требований законодательства в области ИБ влечёт штрафы по КоАП РФ:
- За использование несертифицированных средств защиты (ст. 13.12 КоАП):
Штраф для юрлиц — от 50 000 до 100 000 рублей, с возможной конфискацией оборудования.
Особенно строго — при работе с информацией, составляющей государственную тайну (ч. 3–4 ст. 13.12): штраф до 100 000 рублей.
- За утечку персональных данных (ст. 13.11 КоАП):
- Утечка 1 000–10 000 субъектов — 3–5 млн ₽
- Утечка 10 000–100 000 субъектов — 5–10 млн ₽
- Утечка более 100 000 субъектов — 10–15 млн ₽
- Повторное нарушение — до 3% годовой выручки, но не менее 20 млн ₽
- Утечка биометрических или специальных категорий ПДн — 10–20 млн ₽
Дисциплинарная ответственность
Сотрудник может быть привлечён к дисциплинарной ответственности (замечание, выговор, увольнение) при соблюдении трёх условий:
1. Наличие утверждённых и доведённых до сотрудника правил — инструкции, политики, приказы, с подписью о ознакомлении.
2. Факт конкретного нарушения — например:
— пересылка ПДн через личный мессенджер вопреки запрету;
— установка несанкционированного ПО, приведшего к заражению сети;
— передача пароля коллеге;
— умышленное отключение антивируса.
3. Соблюдение процедуры — письменное объяснение от сотрудника, докладная записка, приказ о взыскании.
Без этих условий доказать вину невозможно.
Уголовная ответственность
Если нарушение ИБ привело к крупному ущербу или тяжким последствиям, наступает уголовная ответственность по ст. 274 УК РФ:
- Ч. 1 — причинение крупного ущерба (финансовые потери, утрата коммерческой ценности, стоимость восстановления):
штраф до 200 000 ₽, или лишение свободы до 2 лет.
- Ч. 2 — тяжкие последствия (остановка критической инфраструктуры, вред здоровью, экологическая катастрофа, дестабилизация работы госорганов):
лишение свободы до 5 лет.
Ответственность может наступить даже для штатного сотрудника — системного администратора, инженера или руководителя, чьё халатное поведение стало причиной инцидента.
Гражданская ответственность
Компания обязана возместить вред, причинённый пострадавшим:
- Возмещение убытков — по ст. 1064 ГК РФ.
Пример: компенсация за кражу денег с карты после утечки данных, потеря прибыли из-за раскрытия коммерческой тайны.
Важно: если пострадавший сам нарушил требования по защите данных — в возмещении может быть отказано (ч. 2 ст. 17 ФЗ-149).
- Компенсация морального вреда — по ст. 150, 151 ГК РФ.
Клиенты или сотрудники могут требовать денежную компенсацию за пережитые страдания (например, после раскрытия медицинских данных или адреса проживания).
Суммы определяются судом, но при групповых исках — могут достигать миллионов рублей.
Исключение: операторы связи и хостинг-провайдеры освобождаются от ответственности, если они лишь технически передавали/хранят данные и не знали о их незаконности (ч. 3–4 ст. 17 ФЗ-149). Но оператор ПДн — всегда несёт ответственность.
Как найти источник утечек
Оперативное выявление источника — ключ к минимизации ущерба. Алгоритм расследования:
1. Анализ журналов DLP и SIEM — ищите попытки отправки ПДн через мессенджеры, почту, внешние носители, печать.
2. Цифровая криминалистика — изучение истории браузера, метаданных файлов, реестра на подозреваемом устройстве (только с согласия сотрудника и в рамках локальных актов).
3. Анализ журналов доступа — кто, когда и с какого IP обращался к утекшим данным в CRM, базе, файловом хранилище?
4. Проверка MDM/UEM — если утечка с мобильного устройства — анализируйте логи: какие приложения, передачи файлов, отключения политик.
5. Интервью с сотрудниками — не обвинительно, а для восстановления хронологии: «В это время вы решали задачу — каким инструментом?»
6. Привлечение экспертов — для сложных случаев (стеганография, удалённые файлы, продвинутые вредоносные программы).
Как обеспечить защиту информационной безопасности
Нарушения ИБ — системная проблема. Её нельзя решить одним инструктажем. Защита строится на трёх столпах: правила, внедрение, контроль.
1. Разработайте реальные, понятные политики
Не «для проверки», а для жизни.
Пример:
«Как отправить файл? → Через корпоративный диск.
Как связаться с руководителем по срочному вопросу? → Только по телефону.
Что нельзя хранить на личном диске? → Все документы с грифом «КТ» или «ПДн»».
2. Внедряйте осознанность через обучение
Ежегодного теста недостаточно.
- Раз в квартал — микротренинги (5–10 минут):
— как распознать фишинг в мессенджере
— почему нельзя использовать один пароль
— как включить 2FA
- Проводите симуляции атак: отправляйте тренировочные фишинговые письма и анализируйте реакцию.
- Поощряйте: «Сообщил об угрозе» — бонус 5 000 ₽.
3. Внедряйте технические средства, которые учат, а не просто блокируют
DLP-система должна не просто блокировать отправку паспорта в Telegram, а показывать всплывающее окно:
«Вы пытаетесь отправить ПДн через незащищённый канал. Используйте корпоративный диск: [ссылка]».
Это снижает сопротивление и формирует правильные привычки.
4. Обеспечьте персональную ответственность
- Каждый сотрудник подписывает обязательство о соблюдении ИБ.
- В трудовом договоре и должностной инструкции прописывается ответственность за разглашение конфиденциальной информации.
- Это — правовая основа для применения дисциплинарных мер.
5. Регулярно проводите аудит и тестирование
- Раз в полгода — внутренний аудит.
- Раз в год — внешний пентест.
- Анализируйте логи DLP/SIEM на аномалии.
- Корректируйте политики и обучение на основе реальных инцидентов.
Если вы хотите быть уверены в информационной безопасности своей организации — обратитесь к специалистам. Они оформят необходимые документы, проведут аудит и дадут рекомендации, которые помогут снизить риски для вашего бизнеса.