Утечки возьмут в оборот: защитят ли новые штрафы персональные данные россиян
07 февраля 2024
В 2023 году виновные в утечке персональных данных были оштрафованы в общей сложности на несколько миллионов рублей. И они легко отделались – парламентарии намерены существенно увеличить суммы взыскания и даже ввести уголовную ответственность. Поможет ли ужесточение наказания навести порядок в сфере информационной безопасности, выяснял «Профиль».
Поправки к КоАП и УК
В 2023 году Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) выявила 168 утечек персональных данных. В открытый доступ попали более 300 млн записей о клиентах различных компаний. На основании протоколов, составленных ведомством, суды рассмотрели 87 дел, общая сумма штрафов превысила 4,6 млн руб.
В Совете Федерации и Госдуме считают действующую систему наказания (по ст. 13.11 Кодекса об административных правонарушениях РФ) за нарушения такого рода слишком мягкой. «Многие компании воспринимают личную информацию людей как способ заработка и не охраняют ее должным образом. В результате сегодня на черном рынке объем баз с персональными данными оценивается в 20 тысяч», – отмечал первый вице-спикер СФ Андрей Турчак.
В декабре прошлого года группа сенаторов и депутатов внесла законопроект, предусматривающий кратное увеличение штрафов за утечки персональных данных. 23 января документ был рассмотрен нижней палатой парламента в первом чтении. В том, что закон будет принят в приоритетном порядке, сомневаться не приходится, поскольку есть поручение президента.
Поправки к КоАП, в частности, предусматривают следующие штрафы за неправомерную передачу персональных данных, повлекшую нарушение прав субъектов персональных данных: для граждан – от 50 тыс. до 100 тыс. руб., для должностных лиц – от 400 тыс. до 800 тыс. руб., для юрлиц – от 1 млн до 3 млн руб.
Тех, кто ранее был оштрафован и снова уличен в нарушениях, станут наказывать рублем значительно строже. Так, в отношении граждан предложено применять штраф в размере от 400 тыс. до 600 тыс. руб., должностных лиц – от 2 млн до 4 млн руб. Компаниям же грозят оборотные штрафы в размере от 0,1 до 3% выручки за календарный год, не ниже 15 млн и не выше 500 млн руб.
Такой «тариф» критичен не только для малых и средних, но и для крупных предприятий. По данным Роскомнадзора, сегодня в России насчитывается более 929 тыс. операторов персональных данных. Единый госреестр содержит сведения примерно о 2,6 млн действующих юрлиц, следовательно, нововведения коснутся каждое третье предприятие и организацию.
Бизнес от таких перспектив не в восторге. В октябре 2023-го «Опора России», «Деловая Россия», РСПП и Торгово-промышленная палата обратились к законодателям с предложением привязать штраф к чистой прибыли, а не к сумме выручки за год. Однако авторы законопроекта к мнению бизнес-сообщества не прислушались.
На рассмотрении Госдумы находится еще один законопроект – с поправками к Уголовному кодексу РФ, которые предусматривают не только штрафы, но и реальные сроки за противоправные действия в отношении персональных данных. Уголовная ответственность может наступать, в частности, за сбор, использование и передачу конфиденциальной информации о клиентах. В случае принятия закона суд будет вправе назначить либо штраф в размере до 300 тыс. руб., либо принудительные работы или лишение свободы на срок до четырех лет.
За незаконное использование данных о расовой и национальной принадлежности, политических взглядах, сведений о религиозных и философских убеждениях, состоянии здоровья и биометрии наказание также ужесточат. Так, штраф составит от 700 тыс. до 3 млн руб., а в места не столь отдаленные могут отправить на срок от пяти до 10 лет.
«Ответственность будет расти вместе с объемом «слитой» информации. Наказание будет меняться в зависимости от числа граждан, чьи права нарушены. Штрафы будут еще жестче, если «утекут» наиболее чувствительные данные, например медицинская информация», – заявил Андрей Турчак.
Сокрытие покажет
Специалисты «Лаборатории Касперского» не ожидают, что усиление административной ответственности и введение уголовного наказания помогут радикально улучшить ситуацию. По их прогнозам, количество кибератак на бизнес в 2024 году продолжит расти. Нельзя исключать и негативного сценария, при котором утечки персональных данных будут пытаться скрывать как операторы, так и злоумышленники.
Собственно, такой процесс уже идет. Согласно отчету компании «О значимых утечках данных в России», за прошлый год зафиксировано 133 публикации баз данных российских компаний. Ретейл и финансы – лидеры по объемам и количеству утечек, но только 17 фактов было подтверждено публично.
В 2023-м в даркнет попала информация о 315 млн клиентов – на треть больше, чем годом ранее. Анализ баз показал, что 71% скомпрометированных данных актуальны – датированы соответствующим годом, 55% – опубликованы в течение месяца после предполагаемой даты выгрузки из систем компаний.
Основные векторы проникновения, по оценке «Лаборатории Касперского», – использование уязвимостей и стандартных улит для удаленного администрирования. Ну а самый большой выкуп в отечественной истории, который когда-либо был выплачен хакерам, составил более $3 млн. По действующему курсу ЦБ это составляет около 300 млн руб. – сумма, сопоставимая с оборотным штрафом.
В экспертно-аналитическом центре ГК InfoWatch утверждают, что положение дел значительно хуже. Только за первое полугодие 2023-го добычей злоумышленников стали 705 млн записей (рост в годовом выражении на 72%). В среднем на один случай утечки приходится 2,45 млн записей. Впрочем, и эти расчеты весьма приблизительные: более чем в 40% сообщений об утечках компании не указали точное количество скомпрометированных данных.
Со своей стороны, авторы законопроекта о введении оборотных штрафов с бизнеса за утечку персональных данных оперируют следующими цифрами: на сегодняшний день на черном рынке циркулируют базы, которые содержат конфиденциальную информацию чуть ли не о 80% россиян. Андрей Турчак оценил ущерб от утечек в 2023 году примерно в 8 млрд руб.
В других странах органы власти, бизнес и граждане сталкиваются с аналогичными вызовами. В октябре прошлого года компания Privacy Affairs опубликовала исследование рынка даркнета. Отмечены следующие тренды: масштабы мошенничества с личными данными демонстрируют стабильный рост, цены на услуги снижаются, усилия правоохранительных органов не приносят значимых результатов.
Штраф как мотивация
Оборотные штрафы, которые хотят ввести для компаний, не обеспечивающих надлежащую защиту персональной информации своих клиентов, – в целом работающий инструмент. Согласно судебным постановлениям, с международных ИТ-гигантов Meta (признана экстремистской и запрещена в РФ) и Google за последние пару лет взыскано в общей сложности около 35,6 млрд руб. за неоднократные нарушения российского законодательства.
В конце июля 2022-го ФАС наложила оборотные штрафы на поставщиков металлопроката за картельный сговор с целью поддержания цен на торгах. Нарушение антимонопольного законодательства обошлось семи компаниям в 1,77 млрд руб. Больше всего заплатила «А Групп» (1,01 млрд руб.), меньше всего (17,57 млн руб.) – «Уралметаллстрой».
Однако применительно к преступлениям, связанным с хищением и неправомерным использованием персональных данных, последствия могут быть не столь однозначные, считает эксперт объединенного юрцентра «Парфенон» Диана Суворова. Поскольку борьба с киберпреступностью требует комплексного подхода, оборотный штраф может оказаться либо незначительным, либо неподъемным для компании.
Пострадавшие, возможно, в некоторых случаях будут пытаться скрывать инциденты, что затруднит профилактику и предотвращение утечек баз данных. Существует также риск, что бизнес, стремясь избежать крупных штрафов, предпочтет платить шантажистам, тем самым фактически поощряя их на новые преступления, полагает эксперт.
Впрочем, выводы в любом случае будут сделаны: чтобы история не повторилась, компании впредь не будут экономить на информационной безопасности. В этом отношении введение оборотных штрафов все-таки способно сформировать и поддерживать у бизнеса соответствующую мотивацию, полагает Диана Суворова.
Оборотные штрафы являются эффективным инструментом для стимулирования компаний к соблюдению правил и законов, отмечает директор по информационным технологиям группы «Юникон» Владимир Здоровило. Они сегодня применяются в случае выявления нарушений норм антимонопольного и природоохранного законодательства, в сфере безопасности труда.
«Вместе с тем обеспечение надежной защиты баз персональных данных предполагает дополнительные издержки. Компании вынуждены инвестировать в современные методы информационной безопасности, нанимать персонал, что ведет к увеличению стоимости товаров и услуг», – подчеркнул собеседник «Профиля».
Эксперт не исключает, что злоумышленники будут раз за разом пытаться шантажировать бизнес, требуя отступных за неразглашение факта несанкционированного доступа. Соглашаться не стоит, убежден Владимир Здоровило, ведь всегда есть риск, что вымогатели вернутся с новыми требованиями, а если тайное станет явным, то суд вынесет решение о наложении оборотного штрафа.
Что русскому ПО хорошо
После полного перехода на отечественное ПО Россия станет одной из самых кибербезопасных стран в мире, говорит генеральный директор Uncom OS Никита Кочерженко. Соответственно, есть основания считать, что задачи защиты баз персональных данных пользователей за счет этого в большей степени будут решены.
«Преимущества отечественного софта – архитектура и безопасность. Он разрабатывается не с целью слежки и кражи чужих данных. У нас отличная инженерная школа и качественное, передовое с точки зрения технологий ПО. Для хакеров эти продукты новые, и пока им проще взламывать западные системы», – объясняет Кочерженко.
В обозримом будущем сохранится стабильно высокий интерес бизнеса именно к отечественным ИТ-продуктам, решениям в сфере информационной безопасности, прогнозирует руководитель проектного офиса консалтинговой дирекции компании Arenadata Вадим Куринский. Приоритеты определяет цифровая трансформация экономики, в контексте которой происходит ускоренное импортозамещение ПО.
«Уход иностранных ИТ-вендоров в 2022 году, поддержавших антироссийские санкции, сделал процесс безальтернативным, – добавляет эксперт. – Сдерживающий фактор – отсутствие полноценного правового регулирования, а также опасения граждан по поводу сохранности персональных данных, аккумулируемых в информационных базах как госорганов, так и частных компаний».
Новые технологические решения в контексте цифровизации экономики требуют серьезных инвестиций в совершенствование организационных практик, повышения компетенций сотрудников, воспитания культуры работы с данными. Ну а для начала компаниям, чтобы исключить утечку информации и не попасть на оборотный штраф, необходимо обеспечить цифровой «гигиенический» минимум, резюмировал Вадим Куринский.
Владимир Здоровило
Профиль