Штрафы за утечку персональных данных в 2024 году

С 2022 года утечки данных стали более масштабными. Только за февраль 2024 года в сеть утекло практически столько же данных, сколько за 2022 и 2023 года вместе взятые. Государство отреагировало на это и запустило обсуждение законопроектов, направленных на усиленную мотивацию бизнеса к защите и сохранению данных. В этих законопроектах речь идет об ужесточении административных и уголовных наказаний, а также о введении оборотных штрафов за повторные правонарушения.

 

Утечка персональных данных – это инцидент, при котором персональные данные становятся доступными для посторонних лиц. Основные цели злоумышленников весьма тривиальны:

• Продажа незаконно полученных баз; например, через даркнет или другие источники.
• Шантаж: мошенники требуют деньги у бизнеса, взамен обещая не выкладывать украденное в общий доступ.
• Начиная с 2022 года, к этому перечню добавились идеологические мотивы.

 

Статистика утечек данных показывает растущую тенденцию. При этом злоумышленники предпочитают красть реже, но масштабнее, поэтому концентрируются на базах большего размера. Как это выглядит в цифрах:

• В 2022 было зафиксировано 168 таких случаев при 290 миллионах строк пользовательских данных*.
• В 2023 имели место 133 утечки, содержащие в себе 310 миллионов строк пользовательских данных*.

*по данным «Лаборатории Касперского» из отчетов «Значимые утечки данных в 2022» и «Значимые утечки данных в 2023»

 

2024 год этот тренд продолжает: в феврале Роскомнадзор заявил об утечке более 510 миллионов строк. То есть всего один инцидент практически перекрыл собой два предыдущих года: 510 миллионов строк в 2024 году против 540 миллионов строк за 2022 и 2023 года вместе взятых.

 

В свете явной тенденции к росту утечек государство вплотную взялось за этот вопрос. Основная цель – мотивировать бизнес ответственнее относиться к защите информационной безопасности. Для реализации этой цели были разработаны два законопроекта:

• Законопроект № 502104-8, который посвящен ужесточению ответственности за утечку персональных данных. Размер штрафов предлагается увеличить для первых инцидентов, а для повторных – отдельно ввести оборотные штрафы, которые будут зависеть и от выручки компании, и от объема утекших данных.
• Законопроект № 502113-8, в котором предлагается усилить уже существующую уголовную ответственность для злоумышленников. Также в законопроекте предлагается сделать разграничения: ранее в уголовном законодательстве не было отдельных пунктов, посвященных именно персональным данным – все объединялось одним общим термином «компьютерная информация».

 

23 января 2024 года оба законопроекта были приняты в первом чтении, сейчас к ним ожидаются поправки.
Далеко не все являются сторонниками подобных мер, и критике они подвергались неоднократно. Сомнения вызывают:

• Размеры штрафов. Предлагается при особо крупных утечках персональных данных увеличить сумму штрафа до 15 миллионов рублей за инцидент и до 500 миллионов рублей за повторное крупное правонарушение.
• Никаких смягчающих обстоятельств. Компания понесет наказание за утечку в любом случае, даже если она соблюдала меры информационной безопасности.
• В итоге заплатит конечный пользователь. Значимые суммы штрафов простимулируют компании соразмерно увеличить расходы на информационную безопасность. Это, в совокупности с финансовыми рисками уплаты самих штрафов, ляжет на плечи потребителей, из-за чего стоимость услуг может существенно увеличиться.

 

Александр Хинштейн, председатель парламентского комитета по информационной политике, на ПМЭФ-2024 поделился с журналистами намерением принять законопроекты уже в этом году.

 

«Думаю, что у нас есть компромиссные решения, которые устроят всех. Решения, которые, с одной стороны, не станут лазейкой для ухода от ответственности и возможности откупиться нарушителю. А с другой стороны, действительно позволят участникам рынка, которые вкладываются в информационную безопасность, снижать масштабы ответственности». По данным «Интерфакса»

 

Актуальные штрафы за утечку данных отражены в Кодексе Российской Федерации об административных правонарушениях. Им посвящена статья 13.11. Предусмотрен разный размер штрафов для:

• Физических лиц;
• должностных лиц;
• юридических лиц и ИП: размер штрафов для них одинаковый.

 

Для наглядности сведем в единую таблицу суммы штрафов, которые могут вступить в силу после принятия законопроекта.

Важно: отраженные в таблице суммы взяты из текущей редакции законопроекта, в последующих чтениях они могут измениться.

Также обращаем ваше внимание на существенную деталь: согласно законопроекту, штрафы будут зависеть еще и от объема утечки; сейчас такого нет.

 

 

*Согласно законопроекту, идентификатор – уникальные обозначения сведений о физических лицах, необходимые для определения таких лиц.

 

Что с уголовной ответственностью?

• Согласно законопроекту за неправомерный доступ к персональным данным и их дальнейшее использование предусматривается штраф до 300 000 рублей, либо принудительные работы или лишение свободы на срок до 4 лет.
• За неправомерный доступ к биометрическим данным или к специальным категориям персональных данных предусматривается штраф до 700 000 рублей или в размере заработной платы за период до 1 года с лишением права занимать определенные должности или заниматься определенной деятельностью, либо принудительные работы или лишение свободы на срок до 5 лет.
• Трансграничная передача персональных данных, полученных незаконных путем, может наказываться еще строже: лишение свободы на срок до 8 лет со штрафом в размере до 2 миллионов рублей (или в размере заработной платы за период до 3 лет) с лишением права занимать определенные должности или заниматься определенной деятельностью.
• Все то же самое, но повлекшее тяжкие последствия или совершенные организованной группой – лишение свободы на срок до 10 лет со штрафом в размере до 3 миллионов рублей (или в размере заработной платы за период до 4 лет) с лишением права занимать определенные должности или заниматься определенной деятельностью.

 

Напомним, что оба законопроекта приняты в первом чтении; сейчас к ним ожидаются поправки.

 

Что можно сделать для минимизации риска утечек уже сегодня:

• Разработать регламент информационной безопасности. Как минимум, разделить доступы к информации по разным уровням; внедрить софт для оперативного отслеживания утечек; подготовить план действий на случай утечки данных.
• Обучить сотрудников. Многие утечки происходят из-за неосознанных действий работников. Например, сотрудник может получить на почту спам-письмо, перейти по фишинговой ссылке и предоставить таким образом злоумышленникам доступ к данным компании. Поэтому важно информировать и обучать сотрудников. Если все в компании понимают, что такое информационная безопасность и как ее обеспечить, будет меньше ошибок, которые могут привести к утечкам.

 

Может показаться, что хранить данные на физическом сервере гораздо безопаснее, чем в облаке. Но это миф: облачное хранение не более уязвимо для утечек, чем локальный вариант.

 

Отличие в том, что при локальном хранении безопасность зависит только от компании, а при облачном – и от компании, и от провайдера.

 

Поэтому для того, чтобы быть уверенным в сохранности данных, важно разработать регламент информационной безопасности внутри компании, если его еще нет; ознакомиться с таким регламентом у провайдера; убедиться, что серверы провайдера соответствуют 152-ФЗ и располагаются в России.

 

Размещайте проекты и храните данные в надёжном облаке Rusonyx: серверы в Москве, в дата-центре уровня TIER III. До 4 физических периметров защиты и хранение записей с камер наблюдения 90 дней. Работаем только на мощном промышленном оборудовании от официальных вендоров. Предоставляем бесплатный тестовый период по запросу. Узнать об услуге подробнее.

 

• Утечка персональных данных – это инцидент, при котором персональные данные становятся доступными для посторонних лиц.
• Административная ответственность, которую компании несут за утечки персональных данных, будут ужесточать, а штрафы – увеличивать: максимальный размер оборотного штрафа, т.е. штрафа, зависящего от объема выручки компании, может достигать 500 миллионов рублей.
• Параллельно с законопроектом об оборотных штрафах ожидает поправок законопроект о введении уголовной ответственности для злоумышленников за манипуляции с украденными персональными данными. В самых тяжелых случаях, а также если была задействована группа мошенников, это будет наказываться либо штрафом до трех миллионов рублей, либо лишением свободы до 10 лет с лишением права занимать определенные должности или заниматься определенной деятельностью.
• Разработка и внедрение регламента информационной безопасности в совокупности с обучением сотрудников могут помочь снизить риск утечек персональных данных.
• Облачное хранение не более уязвимо для утечек, чем локальный вариант. Просто в этом случае безопасность зависит и от провайдера, и от самой компании.