Исследование RTM Group: количество утечек растет и скоро компании будут платить за них миллионные штрафы
Юристы компании RTM Group, предлагающей услуги в области кибербезопасности и права в ИТ, провели исследование на тему утечек персональных данных из различных сервисов и баз данных. В каждом отдельном случае речь идет о попадании в публичный доступ от нескольких сотен до нескольких сотен тысяч персональных данных граждан (как это было с Орифлейм, Гемотест, Яндекс Еда, DNS). Полный текст исследования доступен по ссылке: https://rtmtech.ru/research/information-leak-responsibility-research/.
Выяснилось, что подобные инциденты происходят практически ежедневно, и их количество растет. В первом полугодии 2022 года выявлено на 14 утечек больше, чем за тот же период 2021 года (134 и 120 инцидентов соответственно), во втором полугодии 2021 года — 137. Мы прогнозируем, что возросшее число кибератак на крупные российские организации приведет к тому, что количество таких инцидентов во второй половине 2022г. и в первой половине 2023г. еще увеличится и достигнет 140-150 за полугодие.
Около 30% утечек происходит по вине злоумышленников, не имеющих отношения к потерпевшим организациям, а остальные 70% случаев связаны с действиями (или бездействием) сотрудников пострадавших организаций.
Привлечь работников компании к ответственности за утечки сложно: для этого должна быть оформлена документация о перечне конфиденциальной информации и порядке работы с ней, а подозреваемый должен быть ознакомлен с ней под подпись. И даже если сотрудник осуществляет неоднократное или однократное грубое нарушение порядка (к примеру, пересылает сообщения с рабочей на личную почту, выгружает корпоративные данные на облачное хранилище без разрешения и т.д.), ему грозит лишь увольнение.
Многие утечки данных так и остаются нераскрытыми из-за сложностей с выявлением виновных, поэтому судебная практика по многим статьям КоАП РФ или УК РФ по данной тематике скудна. К примеру, по статье 13.14 КоАП РФ в первой половине 2021 года было вынесено 99 судебных акта, во второй половине 2021 года – 47 актов, а в первой половине 2022 года – всего 13.
До сих пор компаниям, чья клиентская информация попала в публичный доступ, вменяются минимальные штрафы. Так, за самые крупные случаи утечек ПДн сервисы Орифлейм, Гемотест, Яндекс Еда, DNS и т.д. заплатили от 30 000 или 60 000 рублей при миллиардных оборотах. Однако мы рассчитываем, что уже с начала 2023г. штрафы за утечки персональных данных вырастут – сейчас такой законопроект рассматривает Минцифры. Обсуждается персональная ответственность руководителей (около 400 000 рублей), оборотные штрафы для юрлиц (не менее 1 000 000 рублей) и так далее.
- В ближайшее время планируется ввести в законодательство оборотные штрафы (в последней редакции закона — 0,02 % от оборота), которые будут в тысячи раз больше, чем ныне существующие штрафы по КоАП РФ.
Последняя крупная утечка данных произошла с DNS. Оборот компании в 2021 году достиг 562,3 млрд рублей, поэтому в случае признания компании виновной штраф мог бы составить около 112 460 000 рублей.
- Особую категорию утечек представляют собой преступления, связанные с неправомерным воздействием на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК РФ). Также часто встречается совокупность преступлений по статьям 274.1 и 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений). Потерпевшими становятся не только сами субъекты КИИ, но и клиенты таких организаций (например, если из базы данных оператора связи копируются и продаются паспортные данные абонентов).
Виновным по таким делам грозит уголовная ответственность. Пока таких прецедентов – единицы, но постепенно их становится все больше. В первом полугодии 2021 года было вынесено 3 приговора. Во всех трех случаях подсудимые были признаны виновными. Во втором полугодии 2021 года выявлено уже 10 приговоров. В 9 из 10 случаев лица были признаны виновными. В первом полугодии 2022 года – 14 приговоров (во всех случаях был вынесен обвинительный приговор).
«Сегодня мы можем наблюдать, что и в судебной практике, и в законодательстве происходит ужесточение регулирования использования данных и повышение ответственности за правонарушения в данной сфере. Мы оцениваем эту тенденцию как положительную, поскольку несоразмерность ответственности за инциденты с ущербом, вызываемым утечками, провоцирует халатность лиц и компаний по отношению к надлежащей защите конфиденциальных данных»– отметил Евгений Царев, управляющий RTM Group, комментируя итоги исследования.
О компании
RTM Group — группа экспертных и юридических компаний, специализирующихся на правовых и нормативно-технических вопросах в области информационных технологий и информационной безопасности. В RTM Group работает Центр судебных экспертиз, проводящий нормативные и нормативно-технические экспертизы, а также правовое подразделение, осуществляющее сопровождение клиентов при возникновении конфликтов, включая судебные, в области ИТ и ИБ. Компании группы обладают необходимыми лицензиями ФСТЭК России и ФСБ России.