Киберпреступники всё чаще применяют персонализированные атаки, выискивая слабости в «человеческом звене» компании. Сотрудники — вольно или невольно — становятся причиной утечек данных и взломов. Ущерб несёт компания, но наказание может понести и виновный сотрудник. Во время общения с Life.ru бизнес-партнёр по информационной безопасности 1С-Битрикс Леонид Плетнев рассказал, какие ошибки персонала чаще всего ведут к утечкам.
Большинство киберугроз возникает из‑за случайных ошибок или невнимательности. Сотрудник передаёт важные документы через общедоступный мессенджер или отправляет конфиденциальную информацию в чат с публичным ИИ‑ассистентом. Или принимает мошеннические ссылки за легитимные запросы: перейдя по такой ссылке, вводит данные корпоративной учётной записи или загружает вредоносное ПО.
По словам эксперта, если в регламентах компании прямо запрещено использование сторонних мессенджеров и ИИ‑сервисов, подобные действия подпадают под ст. 192 ТК РФ — сотруднику грозит выговор или увольнение. При наличии ущерба работодатель вправе взыскать его по ст. 238 ТК РФ. Если утечка затронула персональные данные, возможна административная ответственность по ст. 13.11 КоАП РФ со штрафом до 15 000 рублей.
Ещё один сценарий — взлом корпоративных систем из‑за нарушения правил информационной безопасности (ИБ). Сотрудник откладывает обновление ПО на личном ноутбуке вопреки требованиям компании, отключает двухфакторную аутентификацию или теряет незапароленный ноутбук с корпоративными документами. Если в результате такой халатности доступ к данным получили третьи лица, сотрудник несёт дисциплинарную ответственность (ст. 192, 81 ТК РФ), а при наличии ущерба — материальную (ст. 238 ТК РФ).
Если сотрудник умышленно нарушил правила ИБ — например, сознательно хранил пароли в открытом виде, передавал их или отключал двухфакторную аутентификацию, чтобы облегчить доступ третьим лицам, — может наступить уголовная ответственность по ст. 272 УК РФ. Максимальный штраф — 500 000 рублей, лишение свободы — до 7 лет. Чтобы привлечь к уголовной ответственности, компания должна доказать наличие умысла: логи систем, записи камер, переписка, свидетельские показания.
Леонид Плетнев
Инциденты и наказания противоречат интересам и компании, и сотрудника. Поэтому компания должна проводить регулярные тренинги по ИБ, внедрять технические меры защиты (двухфакторную аутентификацию, сложные пароли). Сотрудники, в свою очередь, должны понимать, что они — важная часть системы защиты информации, соблюдать инструкции и проявлять бдительность, заключил собеседник Life.ru.
Ранее IT-специалист Павел Мясоедов заявил, что взломать сервис ЕГЭ и добыть экзаменационные материалы для последующей продажи или утечки невозможно. Информация находится в контуре государственных систем, где действует высокий класс защиты. Хранение данных организовано в разрозненном виде: сами задания расположены отдельно от контрольных измерительных материалов. Чтобы скомпрометировать систему, злоумышленникам пришлось бы атаковать сразу несколько объектов, что крайне сложно и трудозатратно
Главные эксклюзивные интервью и репортажи — в разделе «Эксклюзивы» на Life.ru.