Штрафы опять выросли: как избежать утечки индивидуальных данных

С 30 мая вступили в силу конфигурации в КоАП 13.11 (части 12-17), которые наращивают штрафы за утечку индивидуальных данных. Размер штрафа сейчас зависит от количества пострадавших и группы данных. Для организаций штрафы составляют от 3 млн рублей до 15 млн рублей, а для должностных лиц – от 200 000 рублей до 1,5 млн рублей. Александр Яров, управляющий по информационной сохранности ELMA поведал, как бизнесу уменьшить опасности получения штрафа и обезопасить индивидуальные данные.

Утечка индивидуальных данных: почему это принципиально и какие последствия ожидают компании

В крайнее время тема утечек индивидуальных данных все почаще звучит в новостях. Что все-таки прячется за сиим понятием и какие опасности несут компании?

Согласно требованиям Роскомнадзора, утечкой индивидуальных данных считается ситуация, когда деяния либо бездействие организации привели к неправомерной передаче, предоставлению, распространению либо обеспечению доступа к инфы, содержащей личные данные. Принципиально осознавать, что даже передача данных партнерам либо обработчикам без подабающего юридического дизайна быть может расценена как утечка.

При всем этом в законе есть принципиальное дополнение: сейчас организации, допустившие повторную утечку, могут столкнуться со штрафами от 1 до 3 процентов от их годичного совокупного дохода либо собственного капитала (но не наименее 25 миллионов и не наиболее 500 миллионов рублей). Для должностных лиц предусмотрены штрафы в размере от 1,5 до 2 миллионов рублей.

Таковым образом, дискуссии о размере штрафов за утечки завершились – они вправду привязаны к обороту компании, но с некими смягчениями.

Необходимо отметить, что повышены также штрафы за несвоевременное извещение Роскомнадзора о начале обработки индивидуальных данных и о обнаружении факта утечки. Сейчас организации могут быть оштрафованы на сумму от 100 до 300 тыщ рублей за 1-ое нарушение и от 1 до 3 миллионов рублей за повторное.

Все эти денежные последствия могут оказаться критическими для почти всех компаний. На этом фоне инвестиции в системы сохранности и их развитие кажутся не блажью, а необходимыми мерами для защиты бизнеса от суровых рисков. Можно не боясь утверждать, что защита индивидуальных данных становится все наиболее принципиальной задачей, а соблюдение требований законодательства – не только лишь вопросцем репутации, да и гарантией денежной стабильности.

Большенный, средний, малый: какие компании в зоне риска утечки индивидуальных данных

Риск утечек данных для русских организаций существенно возрос, при этом пострадать могут компании хоть какого размера. Согласно крайним исследованиям Positive Technologies, наиболее половины удачных кибератак приводят к настоящим утечкам инфы.

5 отраслей оказались более уязвимыми для утечек данных:

• муниципальные учреждения;

• индустрия;

• IT-компании;

• денежные организации;

• мед учреждения.

Порядка трети всех случаев утечек касаются индивидуальных данных юзеров, чуток наименее четверти приходится на коммерческие потаенны и секретную информацию.

В критериях ужесточения законодательства, включая штрафы и пристальное внимание со стороны Роскомнадзора, риск столкнуться с негативными последствиями утечки данных существенно возрос.

Необыкновенную тревогу вызывает ситуация в даркнете: в первом полугодии 2024 года индивидуальные данные стали самым нужным продуктом, составляя 83% всех объявлений о продаже либо распространении инфы. При всем этом количество предложений о бесплатной раздаче данных (64%) практически в два раза превосходит количество объявлений о продаже (33%).

Броско, что конкретно русские компании почаще всего стают источником бесплатных утечек – 88% всех скомпрометированных данных поступают из Рф. Это соединено с тем, что не у всех злоумышленников основным мотивом является получение валютных средств – часто злоумышленники требуют выкуп за нераскрытие украденных данных, и не все организации готовы либо могут его произвести оплату.

Потому даже маленькие компании не должны считать себя вне зоны риска. Они могут стать целью жуликов, которые пробуют подставить компанию, чтоб она получила штраф.

Виды фаворитных кибератак

Осознание того, какие виды атак более всераспространены, – 1-ый шаг к действенной защите.

Вредное ПО (то есть программное обеспечение — комплект программ для компьютеров и вычислительных устройств): основной инструмент злоумышленников

Более нередко юзеры сталкиваются с атаками, использующими вредное программное обеспечение (ВПО). Посреди их в особенности выделяются два типа.

• Шифровальщики. Эти программки заблокируют доступ к вашим данным, шифруя их и требуя выкуп за расшифровку. Атаки с внедрением шифровальщиков, такие как WannaCry либо Petya, нанесли большой вред компаниям по всему миру.

• ПО (то есть программное обеспечение — комплект программ для компьютеров и вычислительных устройств) для удаленного управления (RAT). Такие вирусы разрешают злодеям получать полный контроль над зараженным устройством, просматривать файлы, перехватывать данные и даже управлять камерой и микрофоном. Это делает их небезопасными инструментами для кражи секретной инфы и шпионажа.

Соц инженерия: обман как ключ к успеху

Но обычного наличия вредного ПО (то есть программное обеспечение — комплект программ для компьютеров и вычислительных устройств) недостаточно – злоумышленники нуждаются в методе его распространения. И тут на помощь приходит соц инженерия – манипулирование людьми с целью получения доступа к секретной инфы либо инфецирования устройств ВПО.

Соц инженерия может принимать разные формы.

• Фишинговые электрические письма. Поддельные письма, маскирующиеся под сообщения от узнаваемых компаний (банков, интернет-магазинов и т.д.), содержат ссылки на вредные веб-сайты либо прикрепленные файлы с вирусами.

• Вредные сайты. Веб-сайты, выдающие себя за законные ресурсы, могут заразить устройство просто при посещении либо попросить секретную информацию.

• Атаки в соц сетях и мессенджерах. Злоумышленники употребляют социальные сети и мессенджеры для распространения вредных ссылок, поддельных аккаунтов и обмана юзеров. Они могут выдавать себя за знакомых либо представителей компаний, чтоб получить доверие.

Как защитить бизнес от утечки индивидуальных данных и штрафов

Из всего вышесказанного становится ясно, что штрафы растут, проверки стают жестче, а способностей уйти от ответственности остается меньше. Что созодать бизнесу в данной ситуации? Можно выделить несколько главных шагов, которые посодействуют минимизировать опасности и избежать суровых санкций.

1-ый уровень защиты: база сохранности

Чтоб понизить опасности, сперва примите последующие меры.

1. Зарегайтесь в реестре операторов, осуществляющих обработку индивидуальных данных. Это непременное требование закона 152-ФЗ. Проверить и внести данные о вашей компании (и всех дочерних) можно на портале Роскомнадзора. Это обычная и стремительная процедура, которая дозволит избежать штрафа уже на этом шаге.

2. Проверьте наличие животрепещущей документации в согласовании с 152-ФЗ. Удостоверьтесь, что у вас все есть нужные политики, регламенты и аннотации.

3. Убедитесь в настоящем внедрении мер защиты. Документы – это отлично, но принципиально, чтоб предписанные меры сохранности вправду работали на практике. Приказы ФСТЭК по защите индивидуальных данных служат ориентиром при формировании системы сохранности.

4. Минимизируйте сбор и обработку данных. Удаляйте, обезличивайте либо маскируйте данные, которые не необходимы для заслуги определенных целей. Чем меньше индивидуальной инфы вы обрабатываете, тем ниже опасности.

2-ой уровень сохранности: построение надежной внутренней защиты

Опосля выполнения базисных шагов нужно развивать внутреннюю систему сохранности.

• Создание команды сохранности. Лучше выделить ответственного за информационную сохранность (CISO), который сумеет отлично соединять бизнес-потребности и управление рисками.

• Вербование наружных профессионалов. На исходном шаге полезно обратиться к спецам для оценки текущего состояния и разработки стратегии защиты.

• Оценка цифровых активов и критических действий. Обусловьте, какие данные и системы более важны для вашего бизнеса, также оцените потенциальные последствия их утраты либо компрометации (RTO, RPO, стоимость простоев).

• Анализ рисков и определение риск-аппетита. Осознание того, какие действия в сфере ИТ/ИБ неприемлемы для бизнеса, дозволит найти ценности и нужные ресурсы.

• Разработка планов реагирования на инциденты. Заблаговременно прокрутите в голове деяния в случае утечки данных либо остальных нештатных ситуаций, чтоб оперативно минимизировать вред и обеспечить непрерывность бизнес-процессов.

Соблюдение этих советов поможет бизнесу приспособиться к новеньким реалиям регулирования и оградить себя от возможных рисков, связанных с обработкой индивидуальных данных.

Оригинал статьи на SEOnews