У вас подтекает: бизнесу напомнили об ответственности за данные пользователей
Фото: Global Look Press
Чуть более месяца остается до введения новых правил регулирования утечек данных. Бизнес призывают заявить об инцидентах до 30 мая: еще удастся обойтись без штрафов за неуведомление Роскомнадзора и оборотных штрафов. Если же о компрометации данных станет известно уже после названной даты, то в силу вступят более жесткие меры.
Законодательные новации в области персональных данных (ПДн) обсуждали на пресс-конференции «Утечки данных как социально-экономическая проблема».
Новые правила регулирования, которые вступят в силу с 30 мая, описаны в двух федеральных законах. Первый из них предусматривает ответственность за получение персональных данных без законных оснований и за неправомерный доступ к ним. Второй ужесточает ответственность за нарушение при обработке и хранении ПДн, вводит новые формы штрафов, составы правонарушений и вместе с этим предусматривает новые способы уменьшения размеров ответственности.
Замруководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Милош Вагнер напомнил, что датой правонарушения, связанного с утечкой персональных данных, будет считаться дата, когда было подтверждено раскрытие данных неограниченному кругу лиц.
«Поэтому у компаний до 30 мая есть время, чтобы проинформировать уполномоченные органы о произошедших ранее инцидентах. И тогда, соответственно, к ним будут применяться меры ответственности, предусмотренные действующим сегодня законодательством», — сказал Вагнер.
При этом любая компания сейчас является оператором ПДн, и новые нормы могут применяться ко всем операторам, исключения не предусмотрены. Особый риск представляют взыскания за компрометацию специальных категорий ПДн и биометрических данных — лучше минимизировать их хранение, потому что даже утечки одной записи достаточно для очень существенных штрафов.
Подготовка к изменениям в законодательстве, которые вступают в силу с 30 мая, для бизнеса достаточно трудоемкая, считает президент ГК InfoWatch и председатель правления АРПП «Отечественный софт» Наталья Касперская. Она привела данные исследования, которое показало, что 58% компаний принимают организационные меры и готовятся к проверкам; 53% респондентов планируют или уже приняли необходимые меры, но уверенности в том, что они все предусмотрели, у них, тем не менее, нет. При этом 28% бездействуют или не считают грядущие изменения чем-то важным.
«На вопрос о том, чего вам не хватает для улучшения защиты персональных данных в вашей организации, респонденты назвали не финансовую поддержку, не технические средства или какие-то другие материальные ресурсы — почти половина опрошенных (45%) отметили отсутствие понимания руководства и сотрудников», — подчеркнула Наталья Касперская.
При этом 26% компаний считают проблему утечек данных несущественной, но при этом сотрудники 25% предприятий говорят, что за последние три года в их организации происходили утечки данных, и чаще всего их было две и больше.
«Замечу, что на сегодняшний день только в 35% российских компаний сформированы методики оценки ущерба от утечек данных. Это означает, что масштабы проблемы по-настоящему еще не осознаны и весьма недооценены», — считает эксперт и главный редактор Ассоциации по вопросам защиты информации (BISA) Михаил Смирнов.
В 2024 году из российских компаний утекло более 1,5 миллиарда записей ПДн, рост более чем на 30% год к году. С начала года зафиксировано 67 новых случаев утечек баз данных, впервые появившихся в открытом доступе — в Telegram-чатах и на теневых форумах. За тот же период в 2024 году таких утечек было 95.
Большинство похищенных баз данных выкладываются в публичный доступ, в основном в Telegram-каналах.
Начиная с января 2025 года администрация Telegram начала жестче блокировать чаты и каналы за нелегальный контент, спам и подозрительную активность, в том числе ресурсы, которые распространяли базы данных. В итоге количество новых утечек в первом квартале этого года сократилось почти на 30%.
Именно ПДн остаются самым востребованным типом данных на черном рынке. Примечательно, что в 2024 году почти треть (29%) из всех попавших в даркнет персональных данных – это аутентификационная информация пользователей: пароли и логины, в том числе номера мобильных телефонов, адреса электронной почты. В дальнейшем эта информация становится базой для самых разных видов мошенничества в отношении граждан.
«Важно понимать, что именно утечки становятся первопричиной мошенничества, той почвой, на которой растут бесконечные звонки от фейковых служб безопасности и сотрудников правоохранительных органов. По оценкам крупнейших банков, в прошлом году граждане потеряли из-за телефонного мошенничества до 295 миллиардов рублей, это колоссальные масштабы ущерба», — считает Наталья Касперская. По ее мнению, снизить масштабы ущерба помогут только совместные усилия регуляторов и бизнеса.
Еще по теме
