Ответственность за правонарушения в области информационной безопасности становится жестче с каждым годом и на это есть несколько причин. Первая причина — увеличение популярности темы ИБ среди простых граждан, возмущение которых вынуждает регулятора и правительство принимать соответствующие решения. Вторая причина — высокая частотность конкретных правонарушений, которые вынуждают регулятора ужесточать ответственность за них.
В предлагаемой вашему вниманию серии материалов про «преступления и наказания» в ИБ мы разберем причины и последствия, а также приведем примеры правонарушений. Статьи будут полезны как ИТ- и ИБ-директорам, так и рядовым сотрудникам служб безопасности. В первом материале будут разобраны административные правонарушения и гражданские споры в разрезе информационной безопасности.
Утечка персональных данных
Последние несколько лет растет число утечек персональных данных. Они коснулись как государственных учреждений, так и бизнеса из различных отраслей. По данным нашего ежегодного исследования, в 2022 году 44% компаний столкнулись с утечкой данных. В
За утечку персональных данных накладывается административный штраф:
- на юридических лиц до 100 тыс. руб. при первом нарушении и до 300 тыс. руб. при повторном;
- на должностных лиц от 20 тыс. руб. при первом нарушении и до 50 тыс. руб. при повторном.
Недавно в Госдуме в первом чтении был принят законопроект об «Оборотных штрафах», который значительно увеличивает сумму штрафов:
- на юридических лиц от 3 до 15 млн. руб. при первом нарушении и от 0,1 до 3% выручки компании, но не менее 15 млн. руб. и не более 500 млн. руб. при повторном;
- на должностных лиц от 800 тыс. руб. до 2 млн. руб. при первом нарушении и от 2 до 4 млн. при повторном.
Новые штрафы будут определяться в зависимости от количества и состава «слитых» данных. Наибольшие штрафы предполагаются за утечку биометрических и специальных данных: о личной жизни, убеждениях, национальности, здоровье и т. п.
Утечки персональных данных происходят из-за несоблюдения защитных мер, поэтому для их предотвращения нужно:
- Использовать средства защиты информации для мониторинга действий пользователей и автоматической блокировки передачи файлов в зависимости от их контента, канала передачи и статуса пользователя, работающего с ними в данный момент.
- Регулярно проводить аудит информационной безопасности и аудит информационных активов.
Компенсация вреда после утечки персональных данных
После утечки персональных данных пострадавшие могут в судебном порядке запросить компенсацию морального вреда. Многие граждане узнали об этом после кейса «Яндекс.Еды», который стал прецедентом «по компенсациям» в российской судебной практике.
В марте 2022 года сервис «Яндекс.Еда» допустил утечку персональных данных. Помимо двух штрафов, сервис получил 20 исков о возмещении морального вреда. Суд удовлетворил 13 из них, обязав компанию выплатить заявителям по 5 тыс. руб. Средняя сумма возмещения по другим кейсам в рамках этого дела оценивается в
Компенсации вреда за утечки ПДн происходят не часто, из-за судебного порядка разбирательств. Однако на данный момент Минцифры РФ разрабатывает новую внесудебную процедуру получения компенсаций, которая может существенно увеличить количество желающих получить компенсацию за утечку своих персданных.
Также отмечу, что в перспективе законопроекта «Об оборотных штрафах», организациям, которые допустили утечку, возможно будет целесообразно выплачивать компенсации, так как это позволит снизить общую сумму штрафа за утечку.
Компенсации являются следствием утечек, а значит снизить риски можно аналогичными способами:
- Использовать средства защиты информации для мониторинга действий пользователей и автоматической блокировки передачи файлов в зависимости от их контента, канала передачи и статуса пользователя, работающего с ними в данный момент.
- Регулярно проводить аудит уязвимостей информационной системы и информационных активов.
Локализация баз персональных данных
Любая компания, которая хранит или обрабатывает персональные данные россиян, должна соответствовать требованиям о локализации: использовать для обработки и хранения персданных граждан России только расположенные на территории РФ серверы.
Типовым примером этого нарушения является кейс международной компании по сертификации дайверов International Training. Для регистрации на сайте компания собирала персональные данные россиян и хранила их на сервере в США. Штраф за нарушение составил 1 млн. руб.
За нарушение требований о локализации баз персональных данных накладывается штраф:
- на граждан от 30 до 50 тыс. руб. при первом нарушении и от 50 до 100 тыс. руб. при повторном;
- на должностных лиц от 100 до 200 тыс. руб. при первом нарушении и от 500 до 800 тыс. руб. при повторном;
- на юридических лиц от 1 до 6 млн. руб. при первом нарушении и от 6 до 18 млн. руб. при повторном.
Такие штрафы получают преимущественно иностранные компании, которые предоставляют услуги россиянам из-за рубежа. Например, в 2021 году суд назначил штраф за нарушение требований по локализации данных WhatsApp в размере 4 млн. руб., а Facebook (признана экстремистской и запрещена на территории РФ) и Twitter (ныне X) за повторные нарушения — 15 млн. и 17 млн. руб. соответственно.
Однако наказание может быть применено и к отечественной компании, если она хранит или передает данные граждан РФ на сервер, находящийся за рубежом. Поэтому, чтобы избежать нарушения требований о локализации, нужно:
- Провести аудит обрабатываемых данных и средств их хранения/обработки. Данные граждан России не должны обрабатываться иностранными сервисами.
- Провести аудит сделок и взаимоотношений с партнерами организации, которым передаются данные.
В следующем материале разберем другие нарушения и санкции, к которым должны быть готовы нарушители — организации и граждане.