Жесткие меры регуляторов: помогут ли они снизить количество утечек

С начала года в России произошел ряд крупных утечек персональных данных. В открытом доступе оказались данные клиентов СДЭК, «Яндекс.Еды», Delivery Club, «Ростелекома», «Почты России» и других компаний. В большинстве случаев речь шла о хакерских атаках, а похищенная информация насчитывала миллионы строк. В ответ регуляторы взялись предлагать различные меры, которые, по их мнению, позволят исправить ситуацию. Вместе с Евгением Царевым, управляющим RTM Group, рассмотрим главные из них.

Минцифры предлагает оборотные штрафы

Согласно ст. 13.11 КоАП, за утечку персональных данных компании грозит штраф до 100 000 руб., если нарушение совершено впервые, и до 300 000 руб., если речь идет о повторной утечке.

Минцифры сочло это недостаточным, и предложило ужесточить ответственность, введя оборотные штрафы (размер таких штрафов исчисляется в процентах от выручки компаний). Есть разные предложения: за первую утечку выносить предупреждение, а штрафовать только за вторую либо в первый раз назначать фиксированный штраф, а уже при повторном нарушении — оборотный.

При этом ведомство пока ищет решение вопроса расходования собранных штрафов. Озвучена идея создать специальный фонд, который будет выплачивать компенсацию пострадавшим от утечки данных. Кроме того, для определения реального уровня защиты в компаниях Минцифры предлагает ввести механизм аккредитации и страхования. Пока никаких деталей нет, но есть надежда, что до конца лета ведомство доработает законопроект совместно с представителями бизнеса.

Учитывая объемы последних утечек и характер данных, оказавшихся в открытом доступе, идея с предупреждением кажется ничем не лучше существующей нормы, поэтому остается надеяться, что в окончательной редакции законопроекта все же будет штраф. Малый и средний бизнес, несмотря на заинтересованность в сокращении утечек, выступают против введения оборотных штрафов в целом, обосновывая это большой финансовой нагрузкой на компании. По подсчетам Института развития предпринимательства и экономики, законопроект обойдется этому сектору в 400 млрд руб. ежегодно.

Обязательное уведомление Роскомнадзора

С 1 сентября операторы персональных данных должны будут уведомлять Роскомнадзор о фактах неправомерной или случайной передачи персональных данных, которая повлекла нарушение прав субъектов персональных данных (ч. 3.1. ст. 21 Закона «О персональных данных»).

Речь идет о фактах:

  • Разглашения конфиденциальной информации;

  • Несанкционированного доступа к информации;

  • Превышения полномочий сотрудниками;

  • Применения вредоносного программного обеспечения;

  • Компрометации учетных записей.

Это ожидаемый ответ на увеличение числа утечек. Институт уведомления уже давно существует в европейской правоприменительной практике и регламентируется Общим регламентом защиты персональных данных (GDPR). Давайте сравним этот регламент с нормами закона «О персональных данных».

ФЗ «О персональных данных»

GDPR

Инцидент

Установление факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

Нарушение безопасности персональных данных.

Состав уведомления

  • Причины, повлекшие нарушение прав субъектов персональных данных;

  • Нанесенный вред;

  • Принятые меры по устранению последствий инцидента;

  • Сведения о лицах, действия которых стали причиной инцидента.

  • Описание нарушения с указанием категории и количества пострадавших субъектов, а также категории и количества затронутых записей персональных данных;

  • Данные инспектора по защите персональных данных или другого контактного лица;

  • Возможные последствия нарушения;

  • Меры, предпринятые или предлагаемые для устранения нарушения и минимизации последствий.

Уведомление субъекта персональных данных об утечке

Оператор не обязан уведомлять субъектов персональных данных.

Если инцидент с высокой вероятностью приведет к серьезному нарушению прав и свобод граждан, нужно незамедлительно уведомить о случившемся субъектов персональных данных.

Сроки уведомления

  • В течение 24 часов — о произошедшем инциденте.

  • В течение 72 часов — о результатах внутреннего расследования выявленного инцидента.

Не позднее 72 часов после обнаружения нарушения.

Ключевое отличие российского закона от европейского — в том, что он не предусматривает обязанность оператора уведомлять субъектов персональных данных об утечке. В то же время такое требование представляется важным, поскольку после уведомления субъект может самостоятельно предпринять какие-то меры, чтобы минимизировать ущерб — например, сменить пароли в учетных записях. Кажется целесообразным включить требование об уведомлении и в ФЗ «О персональных данных».

Кроме того, в настоящее время в России нет разработанных форм уведомления Роскомнадзора об утечках, а также методики оценки вреда. Оценка вреда будет особенно важна при определении размера штрафов. Она может, в частности, зависеть от категории персональных данных, от количества и категории субъектов персональных данных, о наличия трансграничной передачи и т. д. Роскомнадзор должен разработать эти документы в ближайшие месяцы.

Специальная система ФСБ

Еще одно нововведение регуляторов в этой сфере связано с выстраиванием взаимоотношений с ГосСОПКА (Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак). Это подведомственная ФСБ платформа, которая позволяет расследовать инциденты в области кибербезопасности и выявлять уязвимости информационных систем безопасности.

Сейчас с этой системой взаимодействуют только организации критической инфраструктуры (здравоохранение, транспорт, энергетика и т.д.), а с 1 сентября такая обязанность появится у всех компаний (ч. 12 ст. 19 Закона «О персональных данных»). В настоящее время отсутствует регламент взаимодействия с ГосСОПКА. Ожидается, что в ближайшее время ФСБ его разработает. При этом важно, что ФСБ, в отличие от Роскомнадзора, нужно будет уведомлять только о компьютерных утечках.

Операторам нужно быть готовым к:

  • Заключению соглашения с ФСБ для начала работы;

  • Разработке регламента взаимодействия с ФСБ;

  • Значительным тратам на внедрение системы и обучение сотрудников.

Все рассмотренные нововведения нацелены в большей степени на усиление ответственности операторов. При этом само по себе усиление ответственности навряд ли может существенно повлиять на количество утечек: для кого-то всегда будет выгоднее и проще заплатить штраф, чем вкладывать средства в техническое оснащение компании и систему защиты. Реальную практическую пользу может принести введение планируемого Минцифрой механизма аккредитации и страхования компаний. Кроме того, нужно еще дождаться регламента по взаимодействию с ГосСОПКА, чтобы оценить технические требования системы к защите информации.

Как компаниям минимизировать риск утечек

Исключить утечки полностью невозможно, но можно минимизировать их количество. Учитывая тенденции 2022 года и увеличение числа веб-атак, компаниям следует обратить особое внимание на технические меры защиты данных:

  • Внедрить систему защиты данных, в частности защиту от утечек (DLP), антивирусы, настроить firewall и т.д.;

  • Своевременно устанавливать обновления программ для защиты или перейти на отечественные аналоги, если обновления недоступны;

  • Использовать надежные пароли, не применять одинаковые пароли для входа в разные системы, не передавать учетные данные третьим лицам;

  • Разработать внутреннюю документацию, устанавливающую цели, требования и процедуры по защите информации;

  • Проводить систематическое обучение своих сотрудников по вопросам защиты данных (предупредить их среди прочего об опасности открытия подозрительных файлов и ввода своих данных на фишинговых сайтах);

  • Ограничить доступ к конфиденциальной информации;

  • Регулярно проводить аудит систем безопасности и устранять уязвимости;

  • Внимательно относиться к разграничению и контролю прав доступа, не забывать закрывать доступ к системам после увольнения сотрудника.

Перечисленные меры помогут повысить уровень защищенности ресурсов вашей компании и снизить риск утечек.

Евгений Царев, управляющий RTM Group, для PLATFORMA Media

Используйте PLATFORMA Media для продвижения своей юридической фирмы и личного бренда: ознакомьтесь с нашими возможностями в медиаките.

Всё о юридических и финансовых технологиях

Мы пишем о технологиях роста, новых моделях заработка для юристов, неординарных героях со всего мира. Ежедневно публикуем важнейшие юридические новости, обзоры и аналитику.