Согласно совместному исследованию страховой компании «Ингосстрах» и Национального агентства финансовых исследований (НАФИ) в 2023 году 91% россиян сталкивались с попытками мошенничества, что на 9 процентных пункта больше, чем годом ранее (82%).
Чаще всего для обмана используются звонки от представителей «банков» или «правоохранительных органов» (73% россиян). На втором месте по степени распространения — предложения заработать в интернете на так называемых «инвестициях» (63%). Третье место (46%) занимают сообщения или электронные письма с подозрительными ссылками, переход по которым связан с финансовыми угрозами.
В большинстве случаев мошенники используют персональные данные граждан, полученные незаконным путем. Ведь чем больше фактов о нас им известно, тем проще им заполучить наше доверие. В связи с этим в последние годы наблюдается активное ужесточение законодательства в области персональных данных.
Так, в частности, начиная с 2022 года, уже произошли следующие изменения:
- Появилась сертификации специалистов по персональным данным;
- Проведена автоматизация надзора в части персональных данных и выполнения 152-ФЗ;
- Введено требование об уведомлении Роскомнадзора о трансграничной передаче персональных данных;
- Появился порядок уведомлений об утечках в Роскомнадзор и ГосСопку (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ);
- Начало действовать требование по передачи операторами биометрических ПД по ЕБС (Единая биометрическая система).
- Введены лицензирование и специальные требования к компаниям, которые обрабатывают более 1 млн ПД.
Но самое главное, появился законопроект об ужесточении наказания за утечку, который вводит в том числе и оборотные штрафы. Такая ответственность — большой риск для компаний.
В настоящее время общая ответственность за неправомерную или случайную передач ПД, повлекшая нарушение прав субъекта ПД, установлена в статье 13.11 КоАП РФ. Штраф составляет не более 300 000 руб. для юридических лиц. Это, зачастую, значительно меньше, чем расходы на кибербезопасность. Для того, чтобы заставить бизнес более серьезно относится к вопросам безопасности персональных данных, законодатель повышает цену ошибки.
Так, уже прошел первое чтение законопроект, который значительно повысит штрафы. Рассматриваются введение следующих финансовых санкций:
3 – 5 млн рублей, если утекли данные от 1 000 до 10 000 граждан;
5 – 10 млн рублей — от 10 000 до 100 000 граждан;
10 млн до 15 млн рублей — более 100 000 субъектов.
За повторные утечки предлагается ввести оборотные штрафы — от 0,1 до 3% выручки за календарный год или за часть текущего года, не менее 15 млн рублей и не более 500 млн. руб.
Помимо штрафов утечка информации может повлечь для компаний иные последствия, такие как финансовые потери, невыполнение обязательств по обеспечению защиты интересов клиентов, риск упущенной выгоды, репутационные потери, санкции административного и уголовного характера.
Первое что стоит сделать, чтобы снизить риски утечки — это провести аудит всех IT-решений, которые вы используете в бизнесе и в которые вы передаете персональные данные своих клиентов: CRM, CMS, сервисы рассылок и т.д. Убедитесь, что они соответствуют требованиям российского законодательства. От иностранных решений стоит отказаться.
Как минимум необходимо удостовериться в том, что ваши подрядчики находятся в реестре операторов по обработке персональных данных. Строго говоря, и вам необходимо подать заявление на включение в этот реестр, так как именно вы собираете персональные данные ваших клиентов. Кроме того, обратите внимание, не осуществляет ли ваш контрагент трансграничную передачу данных. Если, да, то в таком случае вам необходимо получить на это согласие у владельца персональных данных.
Значительно безопаснее использовать российское ПО, инфраструктура которого полностью расположена на территории РФ. Проверить сервис на его наличие в реестре можно на сайте Министерства цифрового развития, связи и массовых коммуникаций.
Но и это тоже не будет гарантировать 100% безопасности подрядчика, так как компания может скрывать зарубежные сервера или иметь иностранных бенефициаров. В связи с этим DashaMail, SendSay и Stream-Telecom решили создать Ассоциацию компаний по защите и хранению персональных данных. Её цели:
- Продвигать необходимость правильного хранения и обработĸи персональных данных граждан нашей страны в полном соответствии с заĸоном, строго на территории России и устранения рисĸов утечĸи данных в недружественные страны.
- Проверять и выдавать знаĸ ĸачества ĸомпаниям, подтвердившим надлежащую обработĸу данных ĸлиентов без передачи этих данных за рубеж.
- Взаимодействовать с государством в области заĸонодательных инициатив, минимизирующих рисĸи утечĸи персональных данных граждан РФ в недружественные страны.
- Содействовать в решении важных задач членов Ассоциации: помогать компаниям в вопросах защиты и хранения персональных данных, предоставлять консультации, рекомендации и оперативную помощь.
И многое другое.
Первая пресс-конференция Ассоциации пройдет уже 25 апреля 2024 года.