Президент России Владимир Путин подписал законопроекты (№ 502104-8, 502113-8), которые ужесточают наказание за утечку персональных данных. В зависимости от объема утечки, наказание для юрлиц и ИП составит от 5 до 15 млн. руб. При повторной утечке предусмотрен оборотный штраф: от 1 до 3% от прошлогодней выручки.
Какие оборотные штрафы предусмотрены для компаний за утечку персональных данных?
По новому законопроекту об оборотных штрафах, который был подписан 30 ноября 2024 года, наказание для юрлиц и ИП будет зависеть от количества утерянных данных:
- если утечка коснется от 1 тыс. до 10 тыс. субъектов ПДн, штраф для юридических лиц и ИП составит от 3 млн до 5 млн руб.
- при утечке от 10 тыс. до 100 тыс. субъектов ПДн, придется заплатить от 5 млн до 10 млн руб.
- за превышение порога в 100 тыс. субъектов ПДн, выпишут штраф от 10 млн до 15 млн руб.
За повторную утечку ПДн вводится оборотный штраф от 1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, если компания не осуществляла деятельность в предыдущем году. Но минимум 20 млн руб. и максимум — 500 млн руб.
Однако, для компаний, которые ежегодно инвестируют в обеспечение информационной безопасности не менее 0,1% годовой выручки, возможный штраф составит от 15 до 50 млн руб.
За утечку специальной категории персональных данных, штраф для юридических лиц и ИП составит от 10 млн до 15 млн руб.
За утечку биометрических персональных данных юрлицам и ИП придется заплатить от 15 до 20 млн руб. При повторном нарушении предусмотрен оборотный штраф от 25 млн до 0,5 млрд. руб — это самое жесткое наказание.
Подробно о том, какие данные относятся к персональным, мы рассказали в полной статье про ПДн.
Какое уголовное наказание предусмотрено?
Законопроект вводит изменения и в Уголовный кодекс.
- Уголовная ответственность предусмотрена для тех, кто незаконно собирает, хранит, использует и (или) передает компьютерную информацию с персональными данными. Ответственность усиливается за преступление, совершенное группой лиц, по предварительному сговору; если оно причинило крупный ущерб; если совершалось в целях обогащения или с использованием служебного положения и «шпионских устройств».
- За незаконное использование, передачу или сбор персональных данных, полученных неправомерным путем, вводится штраф до 300 тыс. руб. или принудительные работы/лишение свободы до четырех лет. Предусмотрено наказание до пяти лет лишения свободы или штраф до 700 тыс. руб. — если информация содержит персональные данные несовершеннолетних, специальные категории персональных данных и (или) биометрические персональные данные.
- До шести лет лишения свободы и штраф до 1 млн руб. вводятся за незаконное использование персональных данных из корыстной заинтересованности, повлекшее крупный ущерб, совершенное группой лиц по предварительному сговору или с использованием служебного положения.
- За преступления, связанные с трансграничной передачей персональных данных, предусмотрено лишение свободы до восьми лет и штраф до 2 млн руб. Или до десяти лет и 3 млн руб. — если были тяжкие последствия или преступление совершено организованной группой.
- За создание ресурсов в интернете или компьютерных программ, предназначенных для незаконного хранения, распространения персональных данных, вводится наказание в качестве принудительных работ/лишения свободы до пяти лет и штрафа до 700 тыс. руб.
Почему решили ужесточить наказание за утечку данных
Раньше для компаний, которые допустили утечку персональных данных, максимальный штраф составлял 100 тыс. руб. и 300 тыс. руб. — при повторной утечке. По мнению авторов законопроекта, такие скромные наказания несоразмерны с возможными последствиями от инцидентов.
«Усовершенствование законодательства кардинально изменит ситуацию с утечками персданных. Серьезные сроки лишения свободы отпугнут многих. А бизнесу станет дешевле вложиться в цифровую безопасность, чем платить штрафы», — процитировал Forbes автора инициативы, сенатора Андрея Турчака.
По его словам, в 2022 году ущерб от утечек персональных данных достиг 8 млрд рублей. Основная причина в том, что на черном рынке происходит «круговорот» 20 тыс. баз с персональными данными 80% населения России.
«Существующие сегодня штрафы — смехотворны и не отражают опасности этих деяний. Мы же предлагаем, действительно, серьезные санкции, которые больно ударят рублем по нарушителям», — написал в Telegram-канале автор законопроекта, председатель парламентского комитета по информационной политике Александр Хиштейн.
Как снизить риск утечек персональных данных и другой конфиденциальной информации?
Согласно аналитическим отчетам экспертов, крупные утечки в 2023 году зачастую происходили по вине инсайдеров, на них пришлось до 80% всех инцидентов.
Снизить риск инцидентов и избежать оборотных штрафов за утечку персональных данных помогают DLP-системы. Такие решения берут под контроль всю чувствительную информацию, мониторят каналы утечки данных, распознают опасные действия сотрудников и мгновенно уведомляют Службу безопасности о возможных рисках.
Масштабные инциденты с утечкой данных редко происходят единовременно и внезапно. На подготовку к внутренней диверсии у пользователей может уходить от нескольких дней, до нескольких месяцев или даже лет. В процессе подготовки нарушители оставляют следы, заметные системам мониторинга при анализе отклонений поведения пользователей.
Одно из таких решений — «Стахановец». Эта система защиты данных позволяет не только предотвратить утечки, но и составляет рейтинг потенциально опасных сотрудников, что помогает заранее выявить неблагонадежный персонал.
Подробнее о функционале:
Рейтинг потенциально опасных сотрудников
«Стахановец» анализирует поведение персонала и рассчитывает, какую потенциальную опасность для работодателя представляют действия каждого специалиста.
Уровень риска рассчитывается по двум критериям:
- сколько времени работник проводит на сайтах и приложениях, которые относятся к группе риска
- как часто специалист использует слова, внесенные в группу риска.
Рейтинг каждого сотрудника система определяет по шкале от нуля до десяти, где «десять» означает максимальный уровень риска.
Эта функция входит в отчет «Анализатор рисков». В его основе лежит интеллектуальная система, которая мониторит действия персонала и выявляет «опасные». Система отслеживает активность, создает карточку по каждому специалисту и уведомляет об инцидентах.
Расчет персональных рисков сотрудников доступен в «Стахановец 10»
Интеллектуальная система «Аналитика»
Анализирует более 40-параметров и поведенческих активностей пользователей, оценивая по каждой из них отклонения от нормы в разрезе по компании, филиалам, подразделениям или отдельно взятым сотрудникам.
Для выявления потенциальных нарушителей производится сравнение активности по таким параметрам, как «Высокоприоритетные события», «Низкоприоритетные события», мониторинг буфера обмена, оценка отправляемых файлов, сообщений в мессенджерах и другие метрики.
Маркировка документов для предотвращения утечек
На важные и конфиденциальные документы можно поставить скрытые метки. Программа их распознает и не допускает отправку файлов по интернету или копирование на съемный носитель.
Метки сохраняются даже если документ отредактировать, пересохранить или скопировать часть данных в другое место.
Стахановец» контролирует и документы, на которые не проставлены метки. Система отслеживает все операции с файлами — копирование, отправку, удаление и печать.
Мгновенные уведомления об инциденте
Система отправляет руководителю или сотруднику Службы безопасности мгновенные уведомления о подозрительном событии. Их можно настроить в БОСС-Онлайн: sms, e-mail и Telegram. При этом, уведомления в Telegram дополнены снимками экрана. Это позволяет сотруднику Службы безопасности быстро оценить риски и предпринять действия.
Блокировка клавиатуры и мыши сотрудника
При получении уведомления о подозрительном событии, сотрудник Службы безопасности может мгновенно заблокировать клавиатуру и мышь сотрудника через БОСС-Онлайн до выяснения обстоятельств и расследования инцидента.
Мониторинг мессенджеров и почты
С целью предотвращения утечек персональных данных и корпоративной информации, комплекс перехватывает текстовые и голосовые сообщения, а также — файлы.
Система мониторит Telegram и WhatsApp в десктоп и веб-версиях, Skype, Microsoft Teams, Lync, Viber, Bitrix, Slack, Myteam, Cisco Webex Teams, eXpress, VK Teams и ICQ.
Также перехватывает входящие и исходящие письма (с вложениями) в Microsoft Outlook, IBM Lotus Notes, Outlook Express, Thunderbird, Bat, Mail.
При фиксации подозрительных действий со стороны сотрудников, комплекс в реальном времени уведомляет службу безопасности.
Комплекс перехватывает текстовые и голосовые сообщения, а также — файлы в популярных мессенджерах
Контроль съемных носителей
Чтобы предотвратить копирование ценных данных, можно установить полный запрет на использование флэш-накопителей, фотоаппаратов, смартфонов, жестких дисков, сетевых адаптеров, Wi-Fi и Bluetooth.
При этом можно создать «белые списки» устройств. Для этого необходимо указать в настройках ID разрешенных к использованию USB-флэшек.
«Антифото»
Это инновационное решение «Стахановец», которое анализирует поведение сотрудника и при попытке сфотографировать экран с ценными данными — сворачивает окно, блокирует рабочую станцию и оповещает руководство. Это позволяет компаниям защитить данные от одного из самых популярных способов кражи — фотографирование монитора с ценной информацией.
Геолокация
Устанавливает точное местонахождение каждого сотрудника. Система опрашивает внутренние и внешние IP-адреса, что помогает выяснить корректную локацию даже при включенном VPN. Кроме этого, программа сверяет данные с GPS, беспроводных точек доступа и вышек сотовой связи.
Благодаря этому руководители могут в режиме реального времени контролировать местонахождение рабочего устройства и вовремя зафиксировать нарушения.
Система устанавливает точное местонахождение сотрудника даже при включенном VPN
«Краулер»
Поисковый движок позволяет проводить поиск по компьютерам сотрудников и устанавливать, какие информационные активы на них хранятся. Поиск выявляет даже «запароленные» архивы под видом документов.
За счет множества настроек оператор может задать тип и размер файлов, а также — ключевые фразы, которые должны присутствовать в искомых объектах.
Аудио DLP
Система может захватывать аудио с микрофона рабочего компьютера или веб-камеры: звонки и голосовые сообщения в корпоративном мессенджере, а также переговоры специалистов возле монитора.
Нейросеть «Стахановец» в режиме реального времени преобразовывает речь в текст и также реагирует на библиотеку подозрительных слов, как в переписке, что позволяет сотрудникам службы безопасности при уведомлении об инциденте мгновенно получать расшифровку разговора.
Что делать?
При утечке данных смягчающими обстоятельствами будет являться выполнение трех требований:
- если в течение трех лет оператор инвестировал в информационную безопасность минимум 0,1% от оборота или выручки.
- ранее нарушитель не привлекался к административной ответственности.
- есть документальное подтверждение соблюдения требований к защите персональных данных.
В статье мы рассказали только про часть DLP-опций, которые доступны в «Стахановец». Протестировать все вы можете, установив бесплатную версию комплекса с полным функционалом.
