Есть одна фраза, которую мы слышим от руководителей чаще всего.
Звучит она примерно так:
«Мы вообще не думали, что за это могут оштрафовать».
И в этот момент обычно становится понятно, что штраф уже где-то рядом. Не потому что компания плохая или кто-то хотел нарушать закон. А потому что в голове до сих пор сидит мысль: информационная безопасность — это что-то айтишное, сложное и необязательное, пока ничего не сломалось.
А теперь давай полноценно разберёмся, откуда берутся эти самые «неожиданные» штрафы.
Начнём с простого. Большая часть штрафов за ИБ появляется не после громких взломов и не из-за утечек, о которых пишут в новостях. Они возникают в куда более скучных и бытовых ситуациях. Например, когда в компанию приходит проверка или когда всплывает жалоба от клиента или сотрудника.
Первый классический сценарий — отсутствие политики обработки персональных данных.
Документы вроде бы есть, но либо скачаны из интернета десять лет назад, либо не соответствуют тому, что реально происходит в компании. С точки зрения закона, в том числе 152-ФЗ, это выглядит так: данные обрабатываются, а правил, по которым это делается, формально нет. И тут уже не важно, утекли эти данные или нет. Нарушение считается состоявшимся.
Вторая популярная история — доступы без ограничений.
Когда сотрудники видят больше, чем должны, имеют доступ к базам, файлам и сервисам просто потому, что так удобнее. Иногда эти доступы остаются даже после увольнения. В реальности это происходит почти в каждой компании. С точки зрения регулятора это означает отсутствие мер по разграничению доступа. А это уже прямое нарушение требований к защите персональных данных.
Третья ситуация выглядит совсем безобидно. Данные хранятся годами просто потому, что никто не задавался вопросом, зачем они вообще нужны.
Клиенты, бывшие сотрудники, старые заявки, архивы, которые «пусть полежат». Проблема в том, что 152-ФЗ требует хранить персональные данные не дольше, чем это необходимо для целей обработки. Когда цель давно исчезла, а данные остались, компания автоматически оказывается в зоне риска.
Четвёртый момент, о котором редко думают заранее, — отсутствие журналирования и контроля.
Проще говоря, когда невозможно понять, кто, когда и что делал с данными. Пока всё спокойно, кажется, что это не важно. Но в момент проверки или инцидента внезапно оказывается, что доказать соблюдение требований просто нечем. А если нельзя доказать, что меры принимались, значит, с точки зрения регулятора, их и не было.
И вот здесь важно понять одну ключевую вещь. Регуляторов в большинстве случаев вообще не интересует, был ли злой умысел. Им не важно, хотел ли кто-то нарушать закон или просто не знал, как правильно. Их интересует только одно: были ли приняты разумные и достаточные меры защиты.
Если мер нет или они существуют только на бумаге, ответственность становится вопросом времени. Иногда это происходит через утечку, иногда через проверку, а иногда просто потому, что кто-то пожаловался.
Поэтому информационная безопасность сегодня — это уже давно не про антивирусы и серверы. Это история про юридические риски, финансовые потери и личную ответственность руководства. Про то, чтобы в нужный момент можно было спокойно сказать: «Мы сделали всё, что должны были», и действительно иметь этому подтверждение.
Самое неприятное во всей этой истории в том, что большинство штрафов можно было предотвратить относительно простыми шагами. Не покупкой дорогих решений, не героизмом ИТ-отдела, а нормальной, системной работой с процессами и требованиями закона.
Если коротко, то «неожиданные» штрафы почти всегда оказываются неожиданными только для самой компании. Для регулятора они выглядят вполне логично и закономерно.