В России изменились штрафы за утечку персональных данных. Что на практике означают эти изменения, объяснили эксперты.
С 30 мая вступили в силу изменения в КоАП 13.11 (части 12-17), которые увеличивают штрафы за утечку персональных данных. Размер штрафа теперь зависит от количества пострадавших и категории данных. Для организаций штрафы составляют от 3 млн рублей до 15 млн рублей, а для должностных лиц — от 200 тысяч рублей до 1,5 млн рублей.
Александр Яров, руководитель по информационной безопасности ELMA, в беседе с "Южным Федеральным" прокомментировал нововведение.
Утечка персональных данных: почему это важно и какие последствия ждут компании
В последнее время тема утечек персональных данных все чаще звучит в новостях. Что же скрывается за этим понятием и какие риски несут компании? Согласно требованиям Роскомнадзора, утечкой персональных данных считается ситуация, когда действия или бездействие организации привели к неправомерной передаче, предоставлению, распространению или обеспечению доступа к информации, содержащей личные данные. Важно понимать, что даже передача данных партнерам или обработчикам без должного юридического оформления может быть расценена как утечка.
При этом в законе есть важное дополнение: теперь организации, допустившие повторную утечку, могут столкнуться со штрафами от 1 до 3 процентов от их годового совокупного дохода или собственного капитала (но не менее 25 миллионов и не более 500 млн рублей). Для должностных лиц предусмотрены штрафы в размере от 1,5 до 2 млн рублей. Таким образом, дискуссии о размере штрафов за утечки завершились — они действительно привязаны к обороту компании, но с некоторыми смягчениями. Стоит отметить, что повышены также штрафы за несвоевременное уведомление Роскомнадзора о начале обработки персональных данных и об обнаружении факта утечки.
Организации могут быть оштрафованы на сумму от 100 до 300 тысяч рублей за первое нарушение и от 1 до 3 млн рублей за повторное. Финансовые последствия могут оказаться критичными для многих компаний. На этом фоне инвестиции в системы безопасности и их развитие кажутся не блажью, а необходимыми мерами для защиты бизнеса от серьезных рисков. Можно смело утверждать, что защита персональных данных становится все более важной задачей, а соблюдение требований законодательства – не только вопросом репутации, но и гарантией финансовой стабильности.
Риск утечек данных для российских организаций значительно возрос, причем пострадать могут компании любого размера. Согласно последним исследованиям Positive Technologies, более половины успешных кибератак приводят к реальным утечкам информации. Пять отраслей оказались наиболее уязвимыми для утечек данных - государственные учреждения, промышленность, IT-компании, финансовые организации, медицинские учреждения.
Порядка трети всех случаев утечек касаются персональных данных пользователей, чуть менее четверти приходится на коммерческие тайны и конфиденциальную информацию. В условиях ужесточения законодательства, включая штрафы и пристальное внимание со стороны Роскомнадзора, риск столкнуться с негативными последствиями утечки данных значительно увеличился.
Особую тревогу вызывает ситуация в даркнете: в первом полугодии 2024 года персональные данные стали самым востребованным товаром, составляя 83% всех объявлений о продаже или распространении информации. При этом количество предложений о бесплатной раздаче данных (64%) почти вдвое превышает количество объявлений о продаже (33%).
Примечательно, что именно российские компании чаще всего становятся источником бесплатных утечек — 88% всех скомпрометированных данных поступают из России. Это связано с тем, что не у всех злоумышленников главным мотивом является получение денежных средств — зачастую злоумышленники требуют выкуп за нераскрытие украденных данных, и не все организации готовы или могут его оплатить. Поэтому даже небольшие компании не должны считать себя вне зоны риска. Они могут стать целью мошенников, которые пытаются подставить компанию, чтобы она получила штраф.
Виды популярных кибератак. Понимание того, какие виды атак наиболее распространены, – первый шаг к эффективной защите.
Вредоносное ПО: главный инструмент злоумышленников Наиболее часто пользователи сталкиваются с атаками, использующими вредоносное программное обеспечение (ВПО). Среди них особенно выделяются два типа.
Шифровальщики. Эти программы блокируют доступ к вашим данным, шифруя их и требуя выкуп за расшифровку. Атаки с использованием шифровальщиков, такие как WannaCry или Petya, нанесли огромный ущерб компаниям по всему миру. ПО для удаленного управления (RAT). Такие вирусы позволяют злоумышленникам получать полный контроль над зараженным устройством, просматривать файлы, перехватывать данные и даже управлять камерой и микрофоном. Это делает их опасными инструментами для кражи конфиденциальной информации и шпионажа.
Социальная инженерия: обман как ключ к успеху. Однако простого наличия вредоносного ПО недостаточно — злоумышленники нуждаются в способе его распространения. И здесь на помощь приходит социальная инженерия — манипулирование людьми с целью получения доступа к конфиденциальной информации или заражения устройств ВПО.
Социальная инженерия может принимать различные формы.
Фишинговые электронные письма. Поддельные письма, маскирующиеся под сообщения от известных компаний (банков, интернет-магазинов и т.д.), содержат ссылки на вредоносные сайты или прикрепленные файлы с вирусами.
Вредоносные веб-сайты. Сайты, выдающие себя за легальные ресурсы, могут заразить устройство просто при посещении или попросить конфиденциальную информацию.
Атаки в социальных сетях и мессенджерах. Злоумышленники используют социальные сети и мессенджеры для распространения вредоносных ссылок, поддельных аккаунтов и обмана пользователей. Они могут выдавать себя за знакомых или представителей компаний, чтобы получить доверие.
Читать на "Южный федеральный"