За утечки персональных данных компаниям и физическим лицам теперь грозят крупные штрафы, а похитителям информации — до 10 лет тюрьмы.
Президент РФ подписал поправки к Уголовному и Административному кодексам, которые ужесточают наказания за утечки персональных данных. За утечку личной информации 1–10 тыс. человек физлицам придётся заплатить от 100 тыс. до 200 тыс. рублей. При утечке данных более 100 тыс. человек размер штрафа вырастет до 200–400 тыс. рублей. Для компаний штрафы составляют от 3 млн до 15 млн рублей в зависимости от объёма утечки. При повторных нарушениях вводятся оборотные штрафы в размере от 1 до 3% годовой выручки.
Если компания активно инвестирует в защиту данных (не менее 0,1% выручки в год), штрафы могут снизить. За незаконное использование, хранение или распространение персональных данных, а также за создание ресурсов для этих целей грозит до 10 лет лишения свободы.
Самое тяжкое наказание ждёт злоумышленника, если он действовал в преступной группе. Уголовная ответственность грозит и за передачу или вывоз украденных баз данных за границу. Кроме того, вводятся наказания за нарушения правил обработки биометрических данных: до 2 млн рублей для компаний и до 1 млн рублей для должностных лиц.
Новая нефть
Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян считает, что увеличение штрафов — действенная мера, но введение уголовной ответственности имеет скорее популистский характер.
“
"Расследование подобных правонарушений находится на крайне низком уровне, и за последние несколько лет было всего несколько случаев, когда профессиональный торговец крадеными данными был наказан или просто установлен следствием", — поясняет он.
Другие представители рынка ИБ солидарны в том, что ужесточение наказания за утечки необходимо.
“
"Персональные данные не просто так стали называть “новой нефтью”: за них готовы платить многие легальные структуры. Нередко такие данные воспринимаются как товар, но не как информация, которая потенциально может нанести серьёзный вред человеку, если окажется в распоряжении злоумышленников", — прокомментировали "ДП" специалисты департамента расследований высокотехнологичных преступлений компании F. A. C. C. T.
До сих пор во многих организациях, которые используют персональные данные, нет подразделений по информационной безопасности вовсе или их задачи выполняются номинально, отмечают в компании.
Управляющий директор по работе с государственными органами Positive Technologies Игорь Алексеев считает, что каждая российская компания, настроенная на долгосрочное развитие и построение положительного имиджа, должна серьёзно относиться к защите своего бизнеса.
"В случае выявления утечек компания будет стремиться к выяснению причин, которые могли к этому привести. Более того, по закону каждая компания при утечке должна уведомить об этом Роскомнадзор, а далее направить ему уведомление о результатах внутреннего расследования", — подчёркивает он. Для этого можно регулярно проводить анализ защищённости или подключить белых хакеров к выявлению возможных угроз.
Ашот Оганесян приводит в пример банки, которые должны ставить в известность о своих утечках ФинЦЕРТ (Центр взаимодействия и реагирования департамента информационной безопасности, специальное структурное подразделение Банка России. — Ред.). По его словам, на практике такое происходит достаточно редко и только в случае, если допустившие утечку ожидают или знают, что в ближайшее время она попадёт в открытый доступ. В остальных случаях, как и раньше, утечки данных пытаются скрыть или хотя бы преуменьшить.
Подобная практика в компаниях обычно носит непубличный характер, добавили в F. A. C. C. T. Если произошла утечка данных, компания прежде других заинтересована в том, чтобы выяснить, как это случилось, в какой мере к этому причастны сотрудники организации. Например, кто конкретно скопировал данные на условную флешку или не обеспечил должных мер защиты информации. Какие инструменты использовались для хищения данных, какие обстоятельства этому способствовали. Если вовремя не устранить уязвимости и не ликвидировать бреши в защите, риск репутационных и финансовых потерь возрастает кратно.
“
"В правоохранительные органы данные об инцидентах с утечками данных организации передают реже, чем проводят внутренние расследования: мало кто хочет выносить сор из избы и предавать огласке неприятный для себя инцидент. После вступления в силу новой статьи Уголовного кодекса, возможно, у организаций, пострадавших от хищения персональных данных, появится больше заинтересованности заявлять о таких преступлениях. Своими действиями они могут способствовать тому, что конкретный злоумышленник получит реальный значительный срок, и это будет важным сигналом для других киберпреступников", — говорят в F. A. C. C.T.
Ашот Оганесян напоминает — часто компании лгут, что данные, оказавшиеся в Сети, являются устаревшими или скомпилированными из других баз. Доказать, что данные неактуальны, возможно, сравнив их со старыми утечками или оценив новизну присутствующих данных.
Лови крота
Зачастую виновниками утечек становятся сами сотрудники компаний: намеренно, чтобы продать информацию злоумышленникам, или случайно — при несоблюдении мер безопасности или невнимательности. В F. A. C. C.T. считают, что полностью убрать человеческий фактор невозможно.
“
"Законодательные изменения позволяют значительно повысить ответственность как самих организаций, так и их сотрудников за утечки. Многое зависит от эффективности исполнения вновь принятых законов. Возможно, не сразу, но после первого случая успешного применения этих законов, который получит широкое освещение, компании начнут активнее заниматься информационной безопасностью, вносить изменения в регламенты и должностные инструкции сотрудников", — полагают эксперты компании.
Ашот Оганесян убеждён, что профессиональные киберпреступники чаще всего недоступны российскому правосудию. Даже если их удаётся выявить, оказывается, что они находятся в юрисдикции других стран, а совместные действия с иностранными правоохранительными органами не просто сложны сами по себе, но также крайне затруднены сегодняшней политической обстановкой.
Юридические коллизии
"Определение утечки даётся в ч. 3 ст. 21 закона “О персональных данных”. Это неправомерная или случайная передача персональных данных, повлёкшая нарушение прав субъектов. К сожалению, это очень широкое определение. Получается, что на практике под штрафы за утечки могут попасть и рядовые ситуации. Например, когда вы передаёте персональные данные партнёру, но при этом договор оформлен некорректно", — предупреждает управляющий партнёр Comply Артём Дмитриев.
Он напоминает, что помимо прочего поправками вводится ответственность за неуведомление Роскомнадзора об утечке или невключение компании в реестр операторов данных. В первом случае штраф составит от 1 млн до 3 млн рублей, а во втором — от 100 тыс. до 300 тыс.
Основатель юридической компании Future Legal Павел Катков говорит, что если факт кражи данных подтвердится, будут искать именно того, кто эту кражу совершил, а не наказывать за это руководство компании. Последнему грозят только штрафы, а не уголовное преследование. Также он отмечает, что биометрия в поправках обозначается именно как вид персональных данных. "Её упоминание можно найти и отдельно в отраслевых правовых актах, однако в данном случае это часть персональных данных", — акцентирует юрист.
“
"Теперь ответственность несёт любое лицо, которое совершило противоправное деяние: незаконно собирало, использовало, передавало, хранило компьютерную информацию, содержащую сведения о персональных данных, которую получило незаконным путём. Применительно к ответственности работников компаний отметим, что использование своего служебного положения будет отягчающим обстоятельством", — отмечает адвокат, управляющий партнёр бюро юридических стратегий Legal to Business Светлана Гузь.
