Ужесточение ответственности за утечки персональных данных в России может привести к увеличению числа случаев шантажа и вымогательства. Эксперты считают, что злоумышленники будут использовать угрозу крупных штрафов как дополнительный рычаг давления на бизнес, особенно если пострадавшие компании будут пытаться уйти от ответственности.
О каких суммах речь?
С 30 мая 2025 года существенно увеличены административные санкции за нарушения в сфере обработки персональных данных. Теперь ответственность зависит от масштаба утечки и степени нарушения:
- за сбор данных без уведомления РКН штраф с 5 тысяч вырос до 300 тысяч рублей;
- за незаконный сбор данных - с 50 тысяч до 150-300 тысяч;
- за умолчание факта утечки данных - с 5 тысяч до 1-3 млн рублей.
До мая 2025 года размеры штрафов были значительно ниже - чаще всего исчислялись сотнями тысяч рублей и редко превышали 1 млн рублей в совокупности, даже при массовых утечках.
Как это усиливает угрозы шантажа
На фоне увеличения штрафов компании становятся более уязвимыми к давлению со стороны злоумышленников. По данным специалистов по безопасности, хакеры чаще склоняются к схемам, при которых украденные массивы персональных данных шифруются или похищаются, а затем владельцам этих данных выдвигаются требования о выплате выкупа за их восстановление и за отказ от сообщения о факте утечки регулятору.
Когда организация сталкивается с угрозой штрафа в несколько миллионов рублей, а также с риском репутационных потерь, искушение выплатить выкуп на первый взгляд кажется более безопасным вариантом. Однако эксперты предупреждают: такая тактика только стимулирует дальнейшее развитие вымогательства.
Малый и средний бизнес под угрозой
Особенно уязвимыми оказываются малые и средние компании. Они зачастую имеют более слабые ресурсы для построения сложных систем защиты информации, а также меньше возможностей для управления репутационными рисками. Угроза штрафов и публичных санкций делает такие организации потенциально более склонными к уступкам злоумышленникам.
Кроме того, на фоне ускоренного перехода на отечественные ИТ-решения риски утечек усиливаются. Новые решения, внедренные в сжатые сроки без комплексного тестирования на безопасность, могут содержать уязвимости, которыми злоумышленники активно пользуются.
Утечки остаются в тайне
По оценкам профессиональных компаний по информационной безопасности, официальные случаи утечек, фиксируемые регуляторами или публично раскрываемые, лишь часть всех инцидентов. Реальные утечки данных могут затрагивать сотни миллионов записей ежегодно, а отдельные крупные инциденты - десятки миллионов строк персональных данных.
Рост числа атак, сопровождаемых вымогательством с угрозой публикации данных и уведомлением регулятора, делает сочетание «утечка плюс штраф» мощным инструментом давления на организации.
Штрафы и их реальное влияние
Эксперты указывают, что даже увеличенные штрафы не всегда соразмерны последствиям для граждан, чьи данные были скомпрометированы. При утечке десятков миллионов записей реальная стоимость штрафа в пересчете на одного человека может быть символической, несмотря на крупные номинальные суммы.
Компании, пытаясь скрыть инцидент и выплатить выкуп, рискуют столкнуться с повторной продажей данных и более серьезными последствиями в будущем. Кроме того, торговля похищенными данными на открытых и закрытых площадках без реальной ответственности платформ усиливает угрозу дальнейших утечек.
Пути снижения рисков
Эксперты предлагают компаниям перейти от формальных механизмов согласия на обработку данных к полноценным договорным отношениям, в которых четко определены обязательства по защите, хранению и уничтожению персональных данных. Кроме того, укрепление технических мер защиты и регулярные независимые аудиты ИТ-систем могут снизить вероятность инцидентов и уменьшить масштаб потенциальных утечек.