15 млн ₽ штрафа и 8 лет тюрьмы: как будут бороться с утечками персональных данных в 2024 году
В начале 2022 злоумышленники украли несколько миллионов строк с данными пользователей «Яндекс Еды». Адреса, телефоны, имена и заказы клиентов нанесли на карту и выложили в общий доступ. Компания тогда отделалась символическим штрафом 60 000 ₽, что многие посчитали несправедливым.
Подобные случаи подтолкнули Госдуму изменить законодательство и ужесточить штрафы. В статье разберем, какая ответственность предусмотрена за слив данных в 2024 году и как компаниям предотвратить утечку.
Что такое утечка персональных данных
Персональные данные по закону — это любая информация, которая прямо или косвенно относится к человеку. Например, суды признают персональными следующие данные:
- ФИО;
- год, месяц, дата и место рождения;
- адрес;
- семейное, социальное, имущественное положение;
- образование;
- профессия;
- доходы.
По опыту «Дадаты», к персональным данным также могут относиться документы, которые удостоверяют личность: паспорт, водительское удостоверение, СНИЛС, ИНН, ПТС. А еще — информация с именных банковских карт.
При этом есть прецеденты, что суд может не признать персональными данными телефон и адрес электронной почты, если рядом с ними нет ФИО.
Иногда личная информация о человеке попадает в общий доступ без его согласия. Это называется утечкой персональных данных и может произойти по разным причинам:
Ошибки сотрудников. В компаниях много правил, которые защищают персональные данные, например регулярно менять пароль от своего рабочего компьютера или не устанавливать непроверенные программы. Но ошибки могут быть и в работе. Например, внутренний сотрудник может отправить внештатнику реальную клиентскую базу, чтобы протестировать сервис или фичу.
Намерение сотрудника. Злоумышленники могут подкупить или запугать персонал и получить данные. Впрочем, сотрудники могут вредить бизнесу и по своей воле. Например, если обижены на начальника, недовольны условиями работы или по другим личным причинам.
Хакерские атаки на сайты или внутренние базы. Методов украсть данные много: подбор паролей, программы с вирусами, рассылки с фишинговыми файлами, которые выглядят как рабочие документы, но содержат вредоносное ПО.
Аварии и уязвимости в системах безопасности. Например, оборудование, которое отвечало за безопасность данных, не запустилось, алгоритм защиты дал сбой или возникла ошибка в программном коде.
Как замечают утечки персональных данных
«Маскировщик»
Маскирует клиентские базы для тестирования, аналитики, ML-моделей. Сохраняет связи, структуру и ошибки в данных
РазузнатьЧтобы защищать персональные данные, операторы ПДн должны принимать организационные и технические меры. Их определила Федеральная служба по техническому и экспортному контролю (ФСТЭК) в Приказе № 21 от 18.02.2013.
Например, оператор ПДн обязан:
- установить антивирус,
- регистрировать все события безопасности,
- использовать системы, которые обнаруживают и предотвращают вторжения.
Защитой персональных данных можно заниматься самостоятельно, например выделить для этого персонал. Или нанять специалистов, которые запускают системы защиты и следят за их работой.
Даже если у оператора ПДн надежная система безопасности, сотрудникам важно сохранять бдительность. Вот несколько признаков сбоя в системах защиты:
- скачивание данных из корпоративной сети;
- попытки входа в систему из неожиданных мест, например, все сотрудники в Москве, а кто-то заходит из Сан-Франциско;
- активность корпоративной сети в нерабочее время;
- внезапные смены паролей и блокировки учетных записей.
На практике операторы ПДн не всегда сообщают об инцидентах: многие боятся потерять лояльность клиентов. Поэтому часто об утечках можно узнать из СМИ или соцсетей. Информацию сливают сотрудники пострадавших компаний или сами взломщики. Реакции компаний на публикации могут быть разными. Сравните:
«Работа.ру». В телеграм-канале in2security написали, что хакеры спарсили и выложили адреса электронной почты, телефоны и зарплатные ожидания 390 000 сибиряков. Сервис утечку не признал: представители компании заявили, что базу данных просто собрали из других источников.
«ВкусВилл». В телеграм-канале «Утечки информации» сообщили, что у продуктового ретейлера украли больше 200 000 клиентских номеров телефонов и адресов электронной почты. Компания отчиталась, что устранила уязвимости в первые часы. Но клиентов оповестили позже — только после того, как об утечке написали в мессенджере.
«Яндекс Еда». 28 февраля 2022 года в сервисе заметили утечку. В течение нескольких дней компания разослала клиентам письмо с предупреждением об утечке, но огласку случаю придала интерактивная карта. Злоумышленники создали ее примерно через месяц после утечки и нанесли имена, адреса, номера телефонов и другие данные пользователей. Представители «Яндекса» публично извинились, но не все были этому рады.
Какую ответственность за утечки несут операторы персональных данных сейчас
Ответственность зависит от того, докажут ли вину оператора ПДн или признают его пострадавшим от хакерской атаки.
Если нарушить закон еще раз, штраф будет больше. Например, юридическое лицо может заплатить до 300 000 ₽.
Пострадавшие могут подать иск и потребовать компенсацию за моральный вред. Например, так сделали 33 пользователя Яндекс Еды. Но по решению суда только 13 человек получили по 5000 ₽ — вместо 100 000 ₽.
В 2023 году объем утечек персональных данных вырос на 60% по сравнению с 2022, и небольшие штрафы стали возмущать пострадавших. Кажется, что корпорация просто не заметит потерю 60 000–100 000 ₽ и не будет вкладываться в системы защиты. Поэтому в правительстве готовят законопроект, который увеличит штрафы за утечки данных.
Как изменится ответственность в 2024 году
В конце 2023 года в Госдуму внесли законопроект. Если его примут, ответственность за утечку персональных данных изменится.
1. Увеличат фиксированный штраф за утечку персональных данных. Поправки коснутся административного кодекса, и за нарушение придется заплатить:
- физическим лицам — от 10 000 до 15 000 ₽;
- должностным лицам — от 50 000 до 100 000 ₽;
- юридическим лицам — от 150 000 до 300 000 ₽.
2. Введут уголовную ответственность — от 4 до 8 лет заключения. Это коснется тех, кто продает данные за границу или вредит с их помощью жизни, здоровью или безопасности. Например, если утечка станет причиной преследования.
Если под уголовную ответственность попадет организация, то нести ее будет руководитель или другой сотрудник, который действовал от лица компании. Например, начальник службы безопасности, который знал об уязвимостях в системе безопасности, но не обновил защитное ПО, и это привело к утечке.
3. Введут штрафы от объема потерянных данных — до 15 млн ₽.
4. Добавят оборотные штрафы за утечки данных — до 3% от годовой выручки для юридических лиц.
Малому, среднему и крупному бизнесу такая ответственность показалась слишком суровой. Например, представители МСП предупредили, что рискуют обанкротиться из-за оборотных штрафов за утечку персональных данных. А в банках сообщили, что и так выделяют немалые суммы на защиту от кибератак и на обучение сотрудников работе с данными.
При этом серьезная ответственность может стимулировать компанию к поиску дополнительных мер защиты. Например, один из клиентов «Дадаты» обратился за помощью, когда узнал о поправках к закону. Компания решила воспользоваться обезличиванием данных, потому что была не готова к штрафам.
Как предотвратить утечки персональных данных
Чтобы обезопасить себя и клиентов от утечек, операторам ПДн нужны:
Правила и ответственность для сотрудников. К ним относится запрет скачивать файлы с рабочего компьютера или забирать документы домой.
Защищенные каналы передачи данных. Руководитель может ввести правила коммуникации — например, пересылать файлы только по корпоративной почте, а не в мессенджерах.
Методы защиты информации. В компании могут применять специальные программы для защиты данных и оборудования от аварий, сбоев и атак.
Методы обезличивания. По приказу РКН это введение идентификаторов, изменение состава и семантики, декомпозиция и перемешивание. Их определили в 2013 году.
Несмотря на четкий перечень, некоторые компании считали, что для обезличивания допустимо применять хеширование. В 2023 году Роскомнадзор подтвердил, что этот способ относится к криптографической защите информации, а не к средствам обезличивания, а значит, хешированные данные остаются персональными.
Чтобы применить у себя в компании метод изменения состава и семантики, можно использовать «Маскировщик».
«Маскировщик» заменяет исходные данные случайными без вреда для логики — женское имя не станет мужским, сохранится связь с регионом и датой рождения.
После обработки данные можно использовать где угодно. Например, чтобы загрузить в модель для тестирования. Это пригодится компаниям, которые хотят предлагать клиентам нужные продукты в правильное время.
«Дадата» протестировала эффективность «Маскировщика» вместе с Ассоциацией больших данных на риск-моделях:
- утечка данных в банке;
- анализ рекламной кампании.
В результате теста удалось снизить риски на 97,5% и сохранить 71% полезности. Это значит, что, даже если злоумышленники похитят базу обезличенных данных, они не смогут ее демаскировать и использовать. Зато для тестирования информация подойдет — в ней сохранятся все логические и социально-демографические связи.