Оборотные штрафы на практике: сколько заплатят компании и инсайдеры за утечку ПДн

Автор:  GR-специалист «СёрчИнформ» Дмитрий Вощуков

Совсем скоро произойдут глобальные изменения в сфере защиты данных: 30 мая вступят в силу оборотные штрафы за утечку персональных данных. В случае первого инцидента компания заплатит от 3 млн до 20 млн руб., при повторном – от 20 млн до 500 млн руб.

Организации заранее готовятся к нововведениям: внедряют защитные системы и обучают сотрудников основам информационной безопасности. В 2024 году количество утечек по вине работников снизилось на 18% (48% в 2024-ом против 66% в 2023 году). 41% организаций увеличили бюджеты на ИБ. И это правильно. Если компания подтвердит, что в течение года до инцидента соблюдала требования к безопасности персданных и в течение 3-х лет направляла 0,1% выручки на выполнение ИБ-мероприятий с участием лицензированных компаний, то максимальный штраф за повторную утечку будет снижен в 10 раз.

Но как закон будет работать на практике? Чтобы понять это, мы разобрали реальные судебные дела, связанные с утечками данных. Сопоставили, какие санкции получил нарушитель при прежних законах и что его ожидает в аналогичной ситуации при новом законе. И какие технологии защиты помогли бы предотвратить инцидент.

GR-специалист «СёрчИнформ» Дмитрий Вощуков
Фото: СёрчИнформ

Случай 1. Ритейл.

2024 год. При настройке веб-сервера интернет-магазина была допущена уязвимость, которую не закрыли. С ее помощью хакеры дважды взламывали сайт, похищали и публиковали базы данных покупателей. Пострадали более 400 тысяч записей.

В первый раз такое бездействие повлекло штраф для компании на 60 тыс. рублей по ч. 1 ст. 13.11 КоАП, а для директора – на 10 тыс. рублей. Во второй раз юридическое лицо оштрафовано на 70 тысяч рублей, должностное – на 15 тыс. рублей.

2025 год. С учетом числа пострадавших записей, в 2025 году такая утечка была бы квалифицирована по новой ч. 13 ст. 13.11 КоАП. В первый раз штраф составил бы 5-10 млн рублей, а во второй – 1-3% от оборота. Поскольку компания крупная и публикует данные о выручке, мы можем оценить штраф в 86-260 млн рублей.

Директор бы ответственности не понес. Наказание должностных лиц за это нарушение предусмотрено только для органов власти и некоммерческих организаций.

Как можно предотвратить? Здесь из-за «человеческого фактора» не была закрыта уязвимость сайта, которой воспользовались хакеры.

Если бы у компании была установлена SIEM-система или сканер уязвимостей, они помогли бы избежать повторного инцидента. SIEM, например, хранит логи всех событий, по которым можно сделать анализ, как проходило развитие атаки. С ее помощью можно выявить, какая уязвимость использовалась и закрыть ее.

Случай 2. Здравоохранение, госсектор.

2024 год. Сотрудница государственного медучреждения перепутала данные двух пациенток и отправила документ с результатами анализов на другой адрес.

На учреждение наложено наказание в виде предупреждения.

2025 год. Если бы нарушение случилось после 30 мая 2025 года, в деле были бы учтены два новых обстоятельства.

Во-первых, были скомпрометированы сведения о здоровье гражданина – персданные специальной категории. Во-вторых, инцидент случился в некоммерческой государственной организации, то есть наказание получил бы сотрудник, ответственный за обработку персданных, а не учреждение. За разглашение персданных специальной категории ему бы грозил штраф в размере 1-1,3 млн рублей.

Как можно предотвратить? Здесь мы сталкиваемся с типичным случаем утечки по халатности. Минимизировать такие нарушения помогает открытый режим работы в DLP. В системе можно создать предупреждения, на случай возможных опасных действий с конфиденциальными данными (печать документов, отправка писем, открытие файлов и т.д.).

Например, система оповещает сотрудников, чьи письма нарушили корпоративные правила и попали в карантин. Если письмо с конфиденциальной информацией пытаются отправить на новые адреса, то пользователь увидит предупреждение, что пересылка данных несёт потенциальные риски. Уведомление привлекает внимание сотрудника и позволяет предотвратить случайную отправку конфиденциальной информации.

Случай 3. Финсектор

2024 год. Сотрудник банка 4 месяца передавал постороннему лицу персданные клиентов. За это он получал вознаграждение в биткоинах и конвертировал их в рубли.

Виновный осужден за неправомерный доступ к компьютерной информации и разглашение банковской тайны с использованием служебного положения, а также за отмывание денег. Он приговорен к штрафу в 50 тысяч рублей и лишению свободы на 1,5 года условно.

2025 год. С принятием поправок в УК, подобные нарушения будут караться намного строже.

С учетом того, что сотрудник воспользовался служебным положением, чтобы получить финансовую выгоду, ему бы грозило лишение свободы до 6 лет и штраф до 1 млн рублей. Кроме того, к санкциям за продажу персданных прибавилось бы наказание за отмывание денег.

Как можно предотвратить? «Пробив» – частый ИБ-инцидент в финсекторе. Он несет серьезные репутационные риски и требует от организации участия в расследовании, чтобы избежать ответственности юрлица.

Минимизировать риск «пробива» поможет комбинация DCAP и DLP-систем. C помощью DCAP можно найти в хранилищах компании все файлы, содержащие ПДн, после чего запретить выбранным категориям пользователей их копирование, пересылку и иные действия. Или вовсе заблокировать доступ к ним.

DLP позволяет выявить «вынос» данных еще до его осуществления. Система может вычислить риски слива информации и информировать об этом ИБ-специалиста. Если утечка уже случилась, DLP восстановит ход событий, поможет провести расследование и определить виновного. Данные из системы можно использовать в суде, чтобы снять ответственность с бизнеса.

Случай 4. Здравоохранение

2022 год. Врач государственной поликлиники опубликовал на странице в соцсети ФИО пациентов, номера их полисов и сведения об анализах на COVID. Обнаруживший нарушение пользователь соцсети обратился в прокуратуру.

Дело было возбуждено прокуратурой, поэтому виновник был наказан не за нарушение с персданными, а за разглашение врачебной тайны. Он был оштрафован на 40 тысяч рублей как должностное лицо.

2025 год. Подобные инциденты могут повлечь за собой как административную, так и уголовную ответственность. В этом кейсе отягчающим обстоятельством станет факт утечки персданных специальной категории.

Если утечку обнаружит Роскомнадзор, то виновный, как сотрудник госучреждения, будет оштрафован на 1-1,3 млн рублей. Если дело будут вести следственные органы, не исключено лишение свободы до 5 лет или штраф до 700 тыс. рублей.

Как можно предотвратить? В такой ситуации организации необходимо предотвратить «вынос» данных из своих систем.

DCAP-система позволяет выделить файлы любых форматов (docx, pdf, jpeg, png и пр.), которые содержат критичную информацию, и присвоить им метку определенного типа. DLP выявит опасные действия сотрудников с этими файлами: перенос информации на внешнее устройство, в облако или другой ресурс – и предупредит об угрозе.

Даже если файл графический, например, скан сертификата о вакцинации, система распознает его содержимое и позволит блокировать утечку еще до того, как кто-то попытается вынести данные.

Случай 5. Связь

2024 год. Сотрудник офиса мобильного оператора за вознаграждение фотографировал персданные абонентов, выведенные на экран из служебной системы. Далее он передавал их заказчику через Telegram.

Доказано 13 случаев «пробива». Нарушитель приговорен к штрафу в 110 тысяч рублей за нарушение неприкосновенности частной жизни и неправомерный доступ к информации с использованием служебного положения.

2025 год. Это наиболее распространенный сценарий ИБ-нарушения в сфере связи. С этого года такие действия будут наказываться заключением на срок до 6 лет и штрафом до 1 млн рублей.

Преступления с неправомерным доступом к компьютерной информации и нарушением неприкосновенности частной жизни относятся к категории небольшой тяжести. Даже с использованием служебного положения участники «пробива» зачастую не приговариваются к реальному лишению свободы.

Новая статья 272.1 УК РФ относит разглашение персданных с использованием служебного положения к преступлениям средней тяжести. Это позволяет судам приговаривать к заключению даже тех нарушителей, кто привлекается впервые.

Как предотвратить? Фотографирование экрана – один из самых популярных способов обойти блокировки и политики безопасности. Однако современные DLP распознают камеру, поднесенную к экрану, и уведомляют ИБ-службу о попытке фотографирования данных.

DCAP-системы добавляют в файл неудаляемый «водяной знак», который виден на фотографиях. Обнаружив, что снимок помечен, нарушитель вряд ли захочет им делиться. А в случае утечки ИБ-специалист сможет вычислить виновника утечки.

Дополнительно

Новый состав нарушения. Неуведомление Роскомнадзора об обработке персональных данных с 30.05.2025 грозит бизнесу штрафом от 100 до 300 тысяч рублей.

Все компании работают с персональными данными. С 2022 года они обязаны сообщать об этом в Роскомнадзор. В уведомлении, наряду с целью обработки и контактами ответственного за работу с ПДн, операторы указывают, какие ИБ-меры ими приняты.

С 30 мая в случае, если станет известно, что организация, которая не подала такое уведомление, работает с персданными, ей будет назначен штраф. Число компаний под угрозой достигает нескольких миллионов.

Как предотвратить? С помощью DCAP-системы можно найти все файлы с ПДн в компании и разграничить права доступа к ним. Также в системе доступна настройка теневого копирования, которая поможет исключить полную утрату чувствительных данных (их удаление). Система поможет сохранить файлы и при необходимости восстановить их.

Итак, комплексная защита помогает существенно минимизировать риски инцидентов. Но если утечка все же произошла, компания, используя ИБ-средства, докажет, что виновный – конкретный человек. А значит, организация сможет снять с себя ответственность.

Узнать больше о защите персональных данных с помощью ИБ-систем можно в инструкции: «Как защитить ПДн и выполнить требования ФЗ-152» и памятках по использованию DLP, DCAP и SIEM. Из них вы узнаете, как организовать безопасную обработку данных и действовать при утечке.

А компаниям без штатной службы ИБ рекомендуем ознакомиться с возможностями защиты на аутсорсе: «Как выявить проблемы с инфобезом без штата ИБ-специалистов и покупки ПО».