Кабмин намерен смягчить санкции за утечку персональных данных

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.053
Репутация
11.695
Реакции
61.868
RUB
50
Санкции за утечку персональных данных предлагают смягчить. Наказание уменьшится при соблюдении оператором ряда важных условий.

Соответствующие поправки к пакету законопроектов о штрафах за утечки разрабатывает кабмин РФ. Сочетание строгих наказаний с возможностью их смягчения поможет сформировать у операторов более ответственный подход к обеспечению информационной безопасности, считают эксперты.

Ответственность за «утекшие» в Сеть персональные данные могут смягчить. Соответствующие поправки ко второму чтению пакета законопроектов о штрафах за утечки прорабатывает кабмин. Наказание будет менее жестким при соблюдении ряда условий. Об этом зампред совета по развитию цифровой экономики при СФ Артем Шейкин.
Работу над документом ведут Минюст, Минцифры и другие заинтересованные федеральные органы исполнительной власти.

деньги заворачивают в резинку


Профильные ведомства определят ряд условий, которые необходимо соблюсти для смягчения наказания.

Пакет законопроектов об усилении административной и уголовной ответственности за утечки и незаконное использование персональных данных был внесен в Госдуму в декабре 2023 года. 23 января этого года в первом чтении приняли проект поправок в КоАП, увеличивающий штрафы за нарушение отдельных требований законодательства в области персональных данных.

Условия смягчения

Поправки создадут более сбалансированный подход к регулированию ответственности операторов данных. Смягчение наказания свидетельствует о стремлении государства не только наказывать за нарушения, но и стимулировать ответственное поведение компаний. Для смягчения наказания оператор персональных данных должен выполнить несколько условий одновременно.

Во-первых, компания должна ежегодно инвестировать значительные средства в мероприятия по обеспечению информационной безопасности. Это покажет серьезность намерений оператора в вопросах защиты данных и его готовность вкладывать ресурсы в превентивные меры.

Во-вторых, в случае утечки оператор обязан произвести денежные выплаты пострадавшим гражданам. Такой подход, по его мнению, продемонстрирует ответственность компании перед своими клиентами и готовность компенсировать возможный ущерб.

Это также может послужить дополнительным стимулом для более тщательного подхода к вопросам защиты персональных данных.

В-третьих, оператор должен подтвердить соблюдение требований к защите персональных данных при их обработке в соответствующих информационных системах. Это условие гарантирует, что компания не просто формально выполняет требования законодательства, но и реально обеспечивает надлежащий уровень защиты информации.

При этом для уменьшения размера наказания не должно быть обстоятельств, отягчающих административную ответственность, дополняет эксперт. Это положение призвано исключить возможность злоупотреблений со стороны недобросовестных операторов.

Достичь баланса

Подобный комплексный подход, представляется обоснованным и эффективным. С одной стороны, он стимулирует операторов инвестировать в информационную безопасность и ответственно подходить к защите персональных данных.
— С другой стороны, сохраняется принцип неотвратимости наказания за нарушения, что должно удерживать компании от пренебрежения требованиями закона.

Смягчение наказания, не означает ослабления контроля или снижения ответственности. Напротив, такой подход может стимулировать операторов к более активным действиям по предотвращению утечек и минимизации их последствий.

Что грозит

В настоящее время ответственность за утечку персональных данных регулируется различными нормативными актами, включая Федеральный закон «О персональных данных» и Кодекс об административных правонарушениях. Существующие санкции включают в себя штрафы, размер которых зависит от характера нарушения и статуса нарушителя (физическое лицо, должностное лицо, юридическое лицо).

Поправки в КоАП и УК РФ, усиливающие санкции за утечку персональных данных, уже приняты в первом чтении. Они, в частности, устанавливают административную ответственность за действия оператора, из-за которых произошла незаконная передача сведений о физлицах.

— Если утечка персональных данных произошла в отношении от 1 тыс. до 10 тыс. субъектов, то штраф для юридических лиц составит от 3 млн до 5 млн рублей, от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн рублей, более 100 тыс. — от 10 млн до 15 млн рублей.

За повторные утечки оператору могут грозить оборотные штрафы от 0,1 до 3% выручки. Сумма составит от 15 млн до 500 млн рублей.

— Ответственность юридических лиц за обработку персональных данных в случаях, не предусмотренных законодательством, либо обработку персональных данных, несовместимую с целями их сбора, будет предполагать штраф от 150 тыс. до 300 тыс. рублей. Повторное совершение административного правонарушения повлечет штраф от 300 тыс. до 500 тыс. рублей.

Кроме того, Уголовный кодекс РФ хотят дополнить ст. 272.1, вводящей ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, а также за создание информационных ресурсов, распространяющих такие данные. Максимальный срок лишения свободы, грозящий за данное преступление, — 10 лет.

Ужесточение ответственности за утечку персональных данных имеет в первую очередь превентивную функции. Введение же смягчающих обстоятельств позволит компенсировать пострадавшим субъектам вред, причиненный неправомерными действиями.

Распространенная проблема

Общая доля утечек персональных данных из организаций в первом полугодии 2024 года продемонстрировала значительное снижение, сократившись на 15%. При этом если учитывать все украденные у организации сведения, то чаще всего в результате успешных атак в публичный доступ попадали именно персональные данные (31%).

— Тем не менее, несмотря на некоторое снижение общего количества утечек персональных сведений, злоумышленникам удается компрометировать крупные компании и извлекать большие базы данных. Похищенная информация затем используется в разных целях, например для мошеннических операций, шантажа или фишинговых кампаний с целью выманивания денежных средств или для продажи каких-то услуг.

Злоумышленники продолжают охотиться за различными конфиденциальными сведениями, однако всплеск публикаций на специализированных платформах, где предлагали бы приобрести такую информацию, не наблюдается.

— Вероятно, злоумышленники предпочитают не сразу сообщать о полученной информации, они могут выжидать или использовать ее в своих целях.

В числе основных методов успешных атак, приводящих к утечкам персональных данных, использование злоумышленниками вредоносного ПО (38%), социальную инженерию (31%) и эксплуатацию уязвимостей (19%).
Кроме того, по итогам первого полугодия 2024-го, значимым фактором, который повлиял на рост утечек конфиденциальной информации из организаций, стало множественное заражение вредоносным ПО открытых репозиториев, используемых разработчиками.

— Утечка данных из одной компании может послужить основой для проведения атак на другие — это происходит в том случае, если утечка затронула данные не только жертвы, но и, например, ее клиентов.

В первом полугодии 2024 года мы выявили тенденцию на утечки информации из государственных структур вследствие компрометации их подрядчиков и контрагентов.

С технической точки зрения слабым звеном в защите организации часто оказываются простые пароли, использование устаревшего оборудования и отсутствие оперативных обновлений безопасности.

— Безопасность данных — комплексный процесс. Необходимо обеспечить безопасность конечных устройств, предусмотреть решения для защиты от сложных угроз, внедрить политику предоставления доступов, постоянно мониторить процессы внутри организации и обучать персонал правилам кибербезопасности.


 
  • Теги
    утечка персональных данных
  • Сверху Снизу