Соблюдение закона и культура работы с ПДн: эксперты – о минимизации рисков утечек

Открывая мероприятие, президент ГК InfoWatch Наталья Касперская напомнила статистику МВД РФ, согласно которой киберпреступники только за 2024 год похитили у граждан России в общей сложности более 200 млрд рублей. «У нас ужесточается законодательство, принят закон о борьбе с мошенниками, но первоначальным звеном все-таки являются утечки данных. Мошенники получают много личной информации о гражданине и благодаря этому могут воздействовать на него длительное время», – отметила она. Операторам ПДн совместно с регуляторами, юристами и ИБ-экспертами необходимо выработать оптимальный подход к минимизации таких рисков. 

Президент ГК InfoWatch Наталья Касперская
Источник: трансляция конференции «Утечки персональных данных как социально-экономическая проблема»
в официальной ВК-группе пресс-центра ТАСС

Пресс-конференция была приурочена к вступлению в силу федерального закона № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» и федерального закона №421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации». В частности, с декабря прошлого года законодательство предусматривает уголовную ответственность за незаконное использование ПДн, а с 30 мая 2025 года будут применяться оборотные штрафы для компаний, допустивших повторную утечку ПДн.

Защищаем не только бизнес, но и граждан

Эксперт и главный редактор BISA Михаил Смирнов привел данные ежегодного исследования утечек ПДн, которое проводит ассоциация. Оно показывает, что с 2013 года количество таких инцидентов в России значительно выросло, и динамика неутешительная. Если, например, в 2013 году эксперты зафиксировали всего 104 утечки, то в 2020 году – 391, а в 2024 – уже 592. Что касается утекших записей ПДн, здесь сильный рост виден уже по результатам последних четырех лет: 269 млн в 2021 году, 746 млн в 2022 году, 1,2 млрд в 2023 году и 1,58 млрд в 2024 году.

Главный редактор BISA Михаил Смирнов
Источник: трансляция конференции «Утечки персональных данных как социально-экономическая проблема»
в официальной ВК-группе пресс-центра ТАСС

Наиболее пострадавшими от утечек отраслями стали торговля (35,1% от всего объема инцидентов в 2024 году), телекоммуникации (10,3%), государственные органы (9,8%). К слову, отрасли ИТ/ИБ и финансы в этом рейтинге оказались одними из самых стойких к утечкам – на них приходится, соответственно, лишь 5,2% и 3,9%.

«Мы видим две тенденции: резкий рост утечек персональных данных из организаций торговли, а также, если смотреть по размерам, – из организаций малого и среднего бизнеса. Это неудивительно, ведь то, что в организации работает 50 человек, не означает, что она не может накапливать огромные цифровые массивы данных», – пояснил Михаил Смирнов.

По типам инцидентов в 2024 году на первом месте с большим отрывом – утечки вследствие кибератаки (70.1%), а на умышленные действия внутренних нарушителей приходится всего 18,5% инцидентов. При этом среди последних – растет доля нарушений по вине руководства организаций (с 2,3% до 3,4%) и снижается доля нарушений по вине рядовых сотрудников (15,1% в 2024 году). Несмотря на то, что кибератаки, по статистике, являются наиболее серьезной угрозой, опросы показывают, что бизнес больше всего опасается именно действий внутренних нарушителей. Также респонденты указывают на то, что большая доля утечек происходит по гибридной схеме: вследствие совместных действий внутренних и внешних нарушителей.

Аналитика BISA: динамика утечек ПДн в России
Источник: трансляция конференции «Утечки персональных данных как социально-экономическая проблема»
в официальной ВК-группе пресс-центра ТАСС

«Утечки конфиденциальной информации – это и техническая, и экономическая, и социальная проблема. Утечки персональных данных используются для различного рода мошенничества и как ведут к потерям для бизнеса, так и наносят ущерб гражданам. Заботясь о безопасности данных в компаниях, необходимо понимать, что мы защищаем не только свой или чей-то бизнес, но также и комфорт, жизнь, финансы людей», – сделал вывод эксперт.

От остановки бизнеса к тонкому адресному вымогательству

Технический директор ИБ-компании F6 Никита Кислицин представил данные исследования утечек ПДн, которое компания уже долгое время ведет автоматизированно и по единой методологии: посредством мониторинга сообществ, телеграм-каналов, различных форумов в Dark Web.

За первый квартал 2025 года аналитики подсчитали 67 кейсов публикаций о крупных утечках данных российских компаний. По отраслям абсолютным лидером является торговля, включая онлайн-ритейл: на нее приходится примерно половина всех инцидентов.

Технический директор F6 Никита Кислицин
Источник: трансляция конференции «Утечки персональных данных как социально-экономическая проблема»
в официальной ВК-группе пресс-центра ТАСС

Другим актуальным трендом является смена мотивации групп, которые занимаются вымогательствами с помощью троянского ПО (ransomware). «Это огромная, организованная индустрия. Примерно с лета прошлого года мы заметили, что ransomware-группы сильно переориентировались. Раньше их целью в основном была остановка бизнеса, нанесение какого-то ущерба здесь и сейчас, часто сопряженное с оглаской факта атаки. Теперь же факт компрометации злоумышленники пытаются скрыть, не повреждать данные, а «сливать» их наружу, сохранять у себя и использовать как рычаг давления на высший менеджмент компаний. То есть теперь ransomware это не про шифрование и остановку бизнеса, а больше про более тонкое адресное вымогательство», – рассказал Никита Кислицин.

Развивайте культуру работы с данными

Заместитель руководителя Роскомнадзора Милош Вагнер уверен, что бороться с утечками, в первую очередь, должны те компании, которые взяли на себя ответственность собирать данные граждан в значительных объемах. Поэтому ведомство рекомендует компаниям задуматься о соблюдении формальных принципов работы с персональными данными: например, о необходимости их удаления по достижении цели обработки.

Заместитель руководителя Роскомнадзора Милош Вагнер
Источник: трансляция конференции «Утечки персональных данных как социально-экономическая проблема»
в официальной ВК-группе пресс-центра ТАСС

«Можно было бы, например, по достижении цели обезличить данные, перенести их в архив и так далее. Новые составы административных правонарушений за утечки персональных данных ставят размер наказания в прямую зависимость от объема этих данных. Значит, логично было бы стараться эти объемы, которые у вас накапливаются, минимизировать всеми возможными способами. Также, на наш взгляд, критически важно компаниям прийти к осознанию того, что персональные данные – это та информация, охота за которой будет продолжаться и усиливаться в части конкурентной борьбы, в части злоумышленников и тех лиц, которые строят бизнес на вымогательстве. Поэтому важно поддерживать культуру работы с персональными данными внутри. Например, если в компании каждый менеджер имеет доступ ко всей базе данных, – наверное, это неправильная культура работы с данными», – пояснил Милош Вагнер.

Спикер призвал компании, ранее допустившие утечки и не проинформировавшие об этом уполномоченные органы, сделать это до 30 мая, пока действует старая система штрафных санкций. Дело в том, что датой совершения подобного правонарушения является не время самой утечки, а время, когда о ней стало известно – например, скомпрометированные данные были размещены на каких-то интернет-ресурсах. Поэтому, если произошедший ранее инцидент вызовет последствия в будущем, административная ответственность компании будет существенно выше. Кроме того, ведомство обращает внимание еще на два вида административной ответственности, грозящие значительными штрафами: за неуведомление уполномоченного органа о начале осуществления деятельности по обработке ПДн и за неуведомление об утечке персональных данных.

В зоне особого внимания

Старший юрист практики интеллектуальной собственности и технологий юридической фирмы Denuo Михаил Шолохов раскрыл нюансы нового законодательства в сфере ПДн: рассказал о шкале штрафов за утечки, в том числе оборотных, а также о новом понятии идентификатора, которое введено помимо основного понятия персональных данных. Идентификатор – это уникальное обозначение сведений о человеке в информационной системе оператора.

Утечка, с юридической точки зрения, – это факт неправомерной или случайной передачи (предоставления, распространения, доступа) к персональным данным, которые повлекли за собой нарушение прав субъектов ПДн. На практике Роскомнадзором признаются утечкой (и влекут за собой необходимость подачи уведомления) любые случаи, когда неправомерно копируется база персональных данных, когда данные попадают в открытый доступ в сеть интернет, когда данные по случайности предоставляются третьим лицам, либо когда компания получает угрозу от третьих лиц о раскрытии данных. Повторная утечка, – это утечка, случившаяся в течение года после назначения штрафа за аналогичный первичный инцидент.

Старший юрист практики интеллектуальной собственности и технологий Denuo Михаил Шолохов
Источник: трансляция конференции «Утечки персональных данных как социально-экономическая проблема»
в официальной ВК-группе пресс-центра ТАСС

Эксперт особо обратил внимание на биометрию и специальные категории ПДн, такие, как данные о здоровье (медицинские ПДн), национальности, расе и т. д. По таким утечкам есть отдельная шкала штрафов (за первичную утечку до 20 млн. рублей, за повторную не менее 25 млн. рублей и не более 500 млн. рублей в размере от 1 до 3% выручки), причем она не является прогрессивной. Это означает, что даже одна утекшая запись ПДн может повлечь за собой миллионный штраф.

Помимо этого в последней редакции закона по результатам обсуждения с бизнесом были введены институты «отягчающих обстоятельств» и «смягчающих обстоятельств». Отягчающими обстоятельствами являются продолжение противоправного поведения (когда оператор ПДн допустил утечку, получил предписание и после этого не реагирует на уведомления регулятора), а также зафиксированные к моменту утечки случаи нарушения законодательства оператором ПДн.

К смягчающим обстоятельствам относятся расходы на услуги информационной безопасности у лицензированных провайдеров в размере 0,1% выручки компании на протяжении трех лет, проведение регулярного аудита, который подтверждает отсутствие у компании нарушений на протяжение предыдущих 12 месяцев, и отсутствие отягчающих обстоятельств. Соблюдение этих условий в совокупности может помочь существенно снизить штраф в случае наступления инцидента.

«Мы рекомендуем в контексте новых штрафов, во-первых, обратить внимание, что практически любая компания является оператором ПДн, а к любому оператору могут применяться штрафы. Во-вторых, особый риск представляют штрафы в сфере специальных категорий ПДн и биометрических данных. Такие данные лучше не хранить или минимизировать их хранение. Помимо этого, мы рекомендуем компаниям присматриваться к смягчающим и отягчающим обстоятельствам и следить за тем, чтобы соблюдались все требования для митигирования таких рисков. Также важна внутренняя работа в компании над осведомленностью персонала о процессах обработки персональных данных», – резюмировал Михаил Шолохов.