Что такое оборотные штрафы за утечку персональных данных
Вячеслав Макович об изменениях после введения оборотных штрафов
Директор по маркетингу АБП2Б, ведущий стратсессий, TedX-спикер, автор ТГ-канала «Стоит записать» и ряда книг, в том числе российской деловой книги года
В 2025 году штрафы за утечку информации станут значительно выше. Если раньше за подобные нарушения можно было отделаться несколькими десятками тысяч рублей, то после введения оборотных штрафов, можно потерять от 20 млн. рублей за первое нарушение, до 500 млн. рублей, при повторном.
Также, за слив данных, предусмотрена и уголовная ответственность. При этом утечка данных, а соответственно и ответственность за инцидент, может коснуться любого бизнеса.
Что изменилось в штрафах за утечку данных
С 2025 ужесточается не только размер штрафа, но и в корне меняется подход к нарушениям в сфере персональных данных. Во-первых, в новом году размер штрафа будет составлять 3% от оборота компании, а максимальная сумма может достигнуть 500 млн. рублей. Также предусмотрена ответственность за несвоевременное оповещение об утечке. Во-вторых, за незаконное использование персональных данных вводится уголовная ответственность сроком до 10 лет лишения свободы.
Предусмотрены и моменты, которые смогут снизить штраф, но реализовать их можно только в следующих случаях:
- если ранее и не менее трех лет компания вносила свой вклад в развитие сертифицированных проектов направленных на защиту конфиденциальных данных или по шифрованию, в размере не менее 0,1% от своего оборота;
- если компания способна доказать, что все требования направленные на защиту персональных данных соблюдались;
- если компания использует лишь сертифицированные решения.
Проактивное управление рисками
Наиболее эффективными и устойчивыми инициативами в области кибербезопасности являются те, которые предполагают проактивный подход к защите. И пусть единого шаблона для создания стратегии по предотвращению утечки данных не существует, сейчас самое время предпринять упреждающие шаги.
Пентестинг
Тестирование на проникновение — это способ компании использовать этичных хакеров для атаки на свои системы с целью найти слабые места в них до того, как их найдет настоящий хакер. Что проверяется посредством пентестинга?
- тестирование на проникновение во внешнюю или внутреннюю сеть;
- тестирование с помощью социальной инженерии;
- тестирование на киберустойчивость приложений.
Аудит информационной безопасности
Аудиты являются важнейшим компонентом любой успешной программы безопасности. Они помогают выявить потенциальные риски, проблемы соответствия и уязвимости, которые могут повлиять на способность компании защищать свои данные и операции.
- выявляют уязвимости и узкие места до того, как ими могут воспользоваться злоумышленники;
- проводят оценку соответствия отраслевым нормам;
Рейтинги безопасности на основе аудита АБП2Б могут помочь предотвратить утечку данных, предоставляя компаниям четкий и всесторонний обзор. Это означает, что у бизнеса будет полный доступ к уязвимостям сети и системы, пробелам в безопасности.
Управление доступом
Контроль доступа — это не просто разрешение или запрет. Он включает в себя идентификацию человека или системы, аутентификацию личности, разрешение к ресурсу и аудит схем доступа. На что стоит обратить внимание?
- Централизация с помощью единого входа. Обеспечивает простоту управления как для пользователей, так и администрирования.
- Удаление ненужных паролей. Снижает риски связанные со слабостью паролей.
- Использование сильных паролей. Снижает риски атак на основе личных данных.
- Использование менеджеров паролей, таких как ОдинКлюч и его аналоги, повышает уровень безопасности, так как сотрудники имеют доступ только на те ресурсы которые им нужны для работы.
- Внедрение многофакторной аутентификации (MFA). Помогает предотвратить несанкционированный доступ, даже в случае кражи.
- MFA с адаптивными возможностями. Повышает удобство использования за счет снижения нагрузки.
Автоматическая деактивация учетных записей
Заброшенная учетная запись представляет собой серьезный киберриск. Она приглашает хакеров получить то, что они хотят. Что должно быть учтено?
- процессы по входу, выходу из системы, а также обновление ролей должны быть автоматизированы;
- должна быть обеспечена видимость. Включение отчетности помогает мониторить доступ;
- необходимо проводить периодическую проверку доступов. Помогает убедиться что нужные люди имеют необходимый уровень доступа, согласно их роли.
Сегментация и разделение сети
Сегментация — это процесс разделения большой сети на мелкие, более управляемые сегменты, которые изолированы друг от друга и невидимы для внешнего мира. Сегментация не только разбивает сеть на части, но и скрывает ее от точек легкого доступа. Таким образом, если сеть взломана, то меньше вероятность того, что хакер сможет нанести масштабный ущерб. Что нельзя упускать из виду?
- все конфиденциальные устройства должны быть отделены от других и находиться в сегментированных сетях;
- конфиденциальные сети должны быть отделены от ненадежных или малонадежных сетей;
- во всех сетях должны действовать правила, разрешающие использовать только те порты и протоколы, которые необходимы для работы устройств в этой сети;
- любой доступ пользователей сети должен требовать аутентификацию.
Проработанные процессы реагирования на инциденты
Эффективный план реагирования на инциденты обычно состоит из шести этапов: предотвращение, обнаружение, сдерживание, ликвидация, восстановление и извлечение уроков. Что необходимо сделать обязательно?
- создать профессиональную группу реагирования на инциденты с необходимыми компетенциями;
- внедрить грамотную стратегию и методологию реагирования на инциденты с четким определением ролей, обязанностей и способов коммуникаций.
- внедрить системы обнаружения вторжений и инструменты управления информацией и событиями безопасности.
Шифрование данных
Шифрование в кибербезопасности служит для защиты данных, независимо от того, находятся ли они в процессе передачи или хранения. Это гарантирует, что даже если данные попадут в чужие руки, они останутся нечитаемыми и, следовательно, бесполезными. Для того, чтобы реализовать шифрование необходимо: выбрать правильное программное обеспечение, алгоритм, размер и способ хранения ключей.
Заключение
Риски, как и ожидаемая выгода от инвестиций в кибербезопасность, возрастают из года в год. Ранее за утечку можно было отделаться небольшими штрафами или остаться и вовсе безнаказанным. К примеру в 2022 году серьезный инцидент по утечке персональных данных был зафиксирован в одной из крупнейших служб доставки в РФ. По факту было инициировано внутреннее расследование, по итогу которого, компания была оштрафована на 60.000 руб. Также в 2022 году в открытый доступ попали данные более 200 тысяч пользователей одного из сервиса онлайн образования. К нарушителю никаких мер применено не было.
Теперь же штрафы могут достигать до 500 млн. рублей, поэтому их защите данных стоит отнестись намного большей серьезностью.