Ответственность за утечку данных в 2024 году: к чему готовиться?

В последние годы утечки данных приобрели пугающие масштабы. Взять хотя бы февраль 2024 года: за один только месяц в сеть просочилось столько информации, сколько за весь 2022 и 2023 годы вместе взятые.

Государство, естественно, не осталось в стороне и активно обсуждает новые законы, которые серьезно подтолкнут бизнес к более надежной защите данных. Среди предложений – ужесточение как административных, так и уголовных наказаний, а также введение оборотных штрафов для тех, кто снова окажется в центре скандала.

Что такое утечка персональных данных

Если происходит утечка персональных данных, информация, которая должна оставаться конфиденциальной, вдруг оказывается в руках у посторонних.

А что дальше? Вариантов немного, но все они неприятные:

1. Продажа баз данных. Нелегальные базы данных охотно покупают в даркнете и на других теневых платформах.
2. Шантаж. Мошенники могут начать вымогать деньги у компании, угрожая слить данные в открытый доступ.

С 2022 года в этот список добавился еще и идеологический аспект. Теперь данные могут красть не только ради денег, но и из политических убеждений, что делает ситуацию еще более сложной и опасной.

Так что, если у вас есть бизнес, который работает с персональными данными, 2024 год может стать, если уже не стал, настоящим вызовом. Защита информации уже не просто обязанность, а вопрос выживания.

Утечки данных: масштабы растут, а хакеры становятся все смелее

Когда речь заходит об утечках данных, цифры говорят сами за себя. За последние годы специалистам по защите информации стало очевидно, что хакеры меняют тактику. Если раньше они предпочитали совершать множество небольших краж, то теперь их стратегия изменилась. Сейчас злоумышленники нацеливаются на крупные базы данных: крадут реже, но зато с огромным размахом.

Вот несколько примеров, чтобы лучше понять, о чем идет речь:

• 2022 г. За год было зафиксировано 168 случаев утечек данных. Это много, но интересно другое: в свободном доступе оказалось 290 миллионов строк пользовательских данных. То есть, каждая утечка касалась огромного объема информации.
• 2023 г. Количество утечек снизилось до 133 случаев, но при этом общий объем украденных данных вырос до 310 миллионов строк. Это показывает, что злоумышленники стали более избирательными, фокусируясь на тех базах, где можно добыть максимальное количество информации.

Эти данные были опубликованы «Лабораторией Касперского» в их отчетах за 2022 и 2023 годы, и они лишь подтверждают растущий тренд.

Но вот наступил 2024 год, и он уже успел всех удивить. В феврале Роскомнадзор сообщил о серьезной утечке, которая буквально взорвала все предыдущие рекорды. Всего один инцидент привел к утечке более 510 миллионов строк данных! Для сравнения, за весь 2022 и 2023 годы суммарно утекло 540 миллионов строк. То есть один случай практически сравнялся по масштабам с результатами двух предыдущих лет вместе взятых.

Такой резкий рост объемов утечек заставляет задуматься о том, что хакеры стали не просто более опытными, но и значительно более организованными. Теперь они готовы рисковать и совершать масштабные кражи, которые могут принести им больше выгоды.

Такая тенденция явно указывает на то, что угрозы становятся все серьезнее. Компании должны пересмотреть свои подходы к защите данных, иначе последствия могут быть катастрофическими. А для обычных пользователей это сигнал, что нужно быть еще более осторожными в вопросах безопасности своих данных.

Каждый новый год приносит новые вызовы, и 2024-й уже показал, что в вопросах кибербезопасности расслабляться нельзя. Хакеры будут продолжать свои атаки, и мы должны быть к этому готовы.

Как государство решает проблему

Ситуация с утечками данных, похоже, достигла такого масштаба, что государство решило взять вопрос под свой контроль. Цель очевидна: заставить бизнес более серьезно относиться к защите данных. Чтобы это сделать, на повестке дня появились два новых законопроекта.

Первый из них – Законопроект №502104-8. Здесь все направлено на ужесточение наказаний за утечку персональных данных. Если раньше штрафы за такие инциденты были относительно небольшими, то теперь предлагается значительно их увеличить. Особенно это коснется повторных нарушений – за них предусмотрены оборотные штрафы, которые будут зависеть как от доходов компании, так и от объема утекших данных.

Второй законопроект (№502113-8) нацелен на усиление уголовной ответственности для тех, кто непосредственно виноват в утечках. Тут речь идет о том, чтобы конкретизировать ответственность за утечку персональных данных, поскольку раньше в уголовном законодательстве все касалось лишь общей «компьютерной информации». Теперь планируется ввести отдельные пункты, чтобы привлечь к ответу виновных более жестко и адресно.

23 января 2024 года оба законопроекта были приняты в первом чтении. Однако, как и следовало ожидать, новые меры вызвали волну критики. Люди обсуждают несколько ключевых моментов:

1. Размеры штрафов. В некоторых случаях планируется увеличить штрафы до 15 миллионов рублей за инцидент, а если утечка повторится – до 500 миллионов рублей. Это, мягко говоря, значительные суммы, которые могут серьезно ударить по компаниям.
2. Отсутствие смягчающих обстоятельств. Согласно предложенным поправкам, компания будет нести ответственность за утечку в любом случае, даже если она соблюдала все меры по защите данных. Это вызывает вопросы о справедливости таких санкций.
3. Влияние на конечного пользователя. Высокие штрафы неизбежно приведут к тому, что компании начнут тратить больше на защиту данных. В результате, эти расходы, скорее всего, будут переложены на плечи потребителей, что может привести к удорожанию услуг и товаров.

Для бизнеса новые законы означают, что ошибки в защите данных теперь могут стоить очень дорого. Любая утечка может привести к серьезным финансовым потерям и репутационным рискам. А для обычных пользователей это может вылиться в рост цен, так как компании будут стараться компенсировать свои затраты на усиленную безопасность.

Какие штрафы грозят за утечку данных

С 2024 года правила игры в сфере защиты персональных данных станут куда жестче. Если вы думали, что можно как-то выкрутиться, то лучше пересмотрите свои планы: штрафы и наказания ужесточаются, и это коснется всех, от обычных граждан до крупных компаний.

Основные санкции прописаны в Кодексе Российской Федерации об административных правонарушениях, в частности, в статье 13.11. В зависимости от того, кто виноват в утечке – физическое лицо, должностное лицо или юридическое лицо/ИП – штрафы будут разными.

Давайте посмотрим, какие суммы могут ожидать нарушителей:

Для физических лиц:

• Первая утечка: если данные 1 000–10 000 человек или 10 000–100 000 идентификаторов попали не туда, где должны быть, штраф составит от 100 до 200 тысяч рублей. Если утечка затронула 10 000–100 000 человек, штраф увеличится до 200–300 тысяч рублей. За более крупную утечку – свыше 100 000 человек – придется раскошелиться на 300–400 тысяч рублей.
• Повторная утечка: за повторное нарушение штрафы вырастают до 500–800 тысяч рублей.

Для должностных лиц:

• Первая утечка: за утечку данных от 1 000 до 10 000 человек или 10 000–100 000 идентификаторов штраф составит от 800 тысяч до 1 миллиона рублей. Если утечка затронула 10 000–100 000 человек, придется заплатить от 1 до 1,5 миллионов рублей. За утечку данных более 100 000 человек штраф составит 1,5–2 миллиона рублей.
• Повторная утечка: штрафы тут достигают уже 3–5 миллионов рублей.

Для юридических лиц и ИП:

• Первая утечка: за утечку данных от 1 000 до 10 000 человек или 10 000–100 000 идентификаторов штраф составит от 3 до 5 миллионов рублей. Если утечка затронула 10 000–100 000 человек, то штраф увеличивается до 5–10 миллионов рублей. А если дело касается более 100 000 человек, то сумма штрафа вырастает до 10–15 миллионов рублей.
• Повторная утечка: штрафы могут быть еще более суровыми – от 0,1% до 3% годовой выручки, но не менее 20 миллионов рублей и не более 500 миллионов рублей.

А что с уголовной ответственностью?

Административные штрафы – это еще не все. Если дело дойдет до уголовной ответственности, то здесь все еще серьезнее.

Для юридических лиц и ИП:

• За неправомерный доступ к персональным данным и их использование грозит штраф до 300 000 рублей, принудительные работы или лишение свободы на срок до 4 лет.
• За доступ к биометрическим данным или специальным категориям данных наказание жестче – штраф до 700 000 рублей или лишение свободы до 5 лет.
• Трансграничная передача данных, полученных незаконным путем, может привести к лишению свободы на срок до 8 лет и штрафу до 2 миллионов рублей.
• Если утечка повлекла тяжкие последствия или была организована группой, то срок лишения свободы может составить до 10 лет, а штраф – до 3 миллионов рублей.

Как защитить свои данные уже сейчас

Вот несколько средств защиты информации. Эти шаги помогут вам минимизировать риски утечки уже сегодня:

1. Разработайте регламент информационной безопасности. Это основа основ. Первое, что нужно сделать, – разделить доступ к информации по уровням. Не всем сотрудникам нужно знать все. Внедрите программное обеспечение, которое поможет оперативно отслеживать подозрительные активности и предотвращать утечки. И, конечно, будьте готовы к любому развитию событий – у вас должен быть четкий план действий на случай утечки данных.
2. Обучайте сотрудников. Очень часто утечки происходят по вине самих работников, которые просто не осознают рисков. Например, кто-то может получить спам-письмо, кликнуть по фишинговой ссылке, и вот уже злоумышленники имеют доступ к данным вашей компании. Решение простое: регулярное обучение сотрудников. Если все в компании понимают, что такое информационная безопасность и как ее поддерживать, вероятность утечек значительно снижается.

Как быть с облачным хранением данных?

Многие думают, что хранение данных на физическом сервере безопаснее, чем в облаке. Но это не совсем так. Облака не более уязвимы для утечек, чем локальные серверы. Разница лишь в том, что при локальном хранении вся ответственность за безопасность лежит на компании, а при облачном – еще и на провайдере.

Чтобы обезопасить данные в облаке, стоит сделать следующее:

• Создайте внутренний регламент информационной безопасности. Если у вас его еще нет, срочно разработайте.
• Изучите регламент безопасности вашего облачного провайдера. Узнайте, как они защищают данные и какие меры принимают в случае утечек.
• Проверьте, соответствуют ли серверы провайдера российским законам (152-ФЗ) и находятся ли они на территории России. Защита по 152-ФЗ поможет избежать множества проблем в будущем.

Обеспечить безопасность данных – задача не из легких, но вполне выполнимая. Регулярное обновление политики безопасности, обучение сотрудников и внимательный выбор провайдера – это три кита, на которых стоит защита вашей информации. Начните с малого, и постепенно ваша компания станет крепким орешком для любых злоумышленников.