Защищайтесь или платите деньги
«В России могут быть внедрены штрафы для бизнеса, предполагающие большие выплаты за утечку данных», «Минцифры РФ предлагает ввести большие оборотные штрафы для компаний, допустивших утечку персональных данных», — с 5 апреля подобными заголовками пестрят все новостные ленты, ссылаясь на первоисточник ТАСС.
Ситуация серьезная. «Последние массовые утечки говорят о том, что, конечно, те штрафы, которые мы в два раза увеличили, ситуацию кардинальным образом не спасают, поэтому в этом году совместно с Роскомнадзором будем выходить с инициативой вводить большие оборотные штрафы для бизнеса, который допустил утечку персональных данных», — сообщает глава ведомства Минцифры Максут Шадаев.
В качестве примера он приводит зарубежную практику, согласно которой штрафы за утечку чувствительных данных исчисляются десятками миллионов долларов, если они не подвергались должной защите со стороны компаний. Если же утечку допустит государственный орган, то в качестве наказания Шадаев предлагает рассмотреть увольнение ответственных лиц.
Утечки конфиденциальной информации стали настоящим бичом современного общества. Из-за внешних угроз, халатности сотрудников и прочих факторов организации теряют деньги и годами заработанную репутацию. Клиенты, ставшие жертвами утечек персональных данных, перестают доверять компании и уходят из нее, оставив за собой шлейф разочарования.
Государства вынуждены вводить меры и призывать бизнесы к ответственности. Так, «только в 2019 году государственным и коммерческим организациям по всему миру выписали штрафов и требований о компенсациях за утечки пользовательских данных на $6,224 млрд», сообщается в мартовском исследовании экспертно-аналитического центра InfoWatch.
Годом раньше — всего $320 млн, то есть почти в 20 раз меньше. В число самых уязвимых отраслей вошли медицинские учреждения, высокотехнологичные компании, ритейл и предприятия общественного питания, на чью долю выпала ровно половина штрафов. Мировыми лидерами по числу взысканий стали США, Сингапур и Соединенное Королевство Великобритании и Северной Ирландии.
Говоря о западных тенденциях, за рубежом расценки на штрафы многократно превышают аналогичные взыскания в России. К примеру, нарушение положений европейского регламента GDPR обойдется денежной выплатой в размере до 4% годового оборота компании, что выбьет почву из под ног даже у самого устойчивого и крепкого бизнеса. Пару примеров:
- Апрель 2020 года. Федеральный суд США утвердил взыскание штрафа с Facebook* в размере 5 млрд долларов за передачу персональных данных сторонней фирме, которая использовала их в маркетинговых целях;
- Зима 2020 года. Ирландская Комиссия по защите данных (DPC) оштрафовала компанию Twitter на 450 тыс. долларов за утечку личной информации пользователей в сеть;
- Осень 2019 года. ФТК США предъявила штраф YouTube на 170 млн долларов за незаконный сбор и продажу личных данных детей;
- Февраль 2019 года. ФТК взыскала с TikTok 5,7 млн долларов за размещение в открытом доступе персональных данных детей.
Как мы видим, законодательство США и Евросоюза действует весьма жестко в отношении компаний, нарушающих закон о хранении конфиденциальных данных.
Говоря о России, на сегодняшний день наше государство настроено более лояльно. Как правило, у нас за незаконное использование персональных данных судят физических лиц, а не компании. Преступники получают штрафы до 50 тыс.рублей и лишь иногда условные сроки. Если же дело все же заводится в отношении компании, то по разным статьям уголовного и гражданского кодекса, она заплатит лишь до 300 тыс.рублей, что не будет являться существенным уроном финансовому положению бизнеса.
«В России размер штрафов за утечки данных никак не способствует соблюдению законов, в отличие от европейской практики, где санкции измеряются миллионами евро, стимулируя компании серьезно подходить к защите информации», – говорит руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев.
Однако в связи с последними новостями ситуация может измениться уже в ближайшее время. Тогда перед компаниями встанет выбор: защищаться или платить деньги? Под защитой имеются в виду средства и методы, способные минимизировать вероятность утечек или установить их источник для предотвращения подобных инцидентов в будущем. Среди подобных методов можно выделить следующие:
- найм специалиста по информационной безопасности. Он обозначит риски и угрозы и сформирует систему защиты информации;
- повышение ИБ-грамотность сотрудников посредством проведения образовательных тренингов и обучений;
- максимальное использование функций безопасности, встроенных в IT-платформы: разграничение прав доступа, система единого входа, запрет на любой софт, который реально не требуется в работе;
- перевод всей критичной информации в электронный вид и обеспечение ее адекватного хранения;
- внедрение технических средств защиты (например, технологии невидимой маркировки конфиденциальных документов для поиска источника при утечке).
Вообще давно пора на фоне этих историй с Яндекс Едой и проч.
Когда клиент приходит делать чего-то в области перс. данных я всегда говорю:
- вообще, чтобы все было нормально, тебе нужно провести аудит, определить все места хранения, ответственных, прописать регламенты, допилить ИБ где это необходимо. Это в твоих же интересах в конце концов - знать где ты чего хранишь и зачем это делается, это просто речь об эффективности;
- но конечно задача минимум это повесить политику на сайте, так как это сразу видно.
Ответ: давайте по минимому, аудит и пр. это все долго.
Ну вот теперь оборотный штраф. Логично.
А могут быть и не внедрены.
К тому же а как вы докажете что вот этот займ в МФО был взят из-то того что вы неосмотрительно покрутили какой-то частью тела в Авите?
Давно надо было сделать какую-то более надежную систему, чтоб утечек не происходило. А то в последнее время столько новостей про слив данных кому не надо..