Сообщение об утечках: почему важно успеть
Главной темой встречи стало новое регулирование в области персональных данных, которое предполагают на сегодняшний день два федеральных закона. Первый из них, №421-ФЗ от 30.11.2024 «О внесении изменений в Уголовный кодекс Российской Федерации», предусматривает ответственность за получение персональных данных без законных оснований и за неправомерный доступ к ним. Федеральный закон № 420-ФЗ от 30.11.2024 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», ужесточает ответственность за нарушение при обработке и хранении ПДн, вводит новые формы штрафов, составы правонарушений и вместе с этим предусматривает новые способы уменьшения размеров ответственности. Уголовная ответственность за незаконное использование персональных данных действует уже с 11 декабря 2024 года, а штрафы за допущение утечек данных, нарушение обработки ПДн и отсутствие уведомления Роскомнадзора о факте утечки будут применяться с 30 мая 2025 года.
Комментируя последние законодательные изменения в области защиты персональных данных, заместитель руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Милош Вагнер напомнил, что датой правонарушения, связанного с утечкой персональных данных, будет считаться дата, когда было подтверждено раскрытие данных неограниченному кругу лиц. Таким подтверждением может быть, например, опубликование базы данных злоумышленником либо получение уведомления от самого оператора, допустившего утечку данных. Таким образом, если оператору сегодня уже достоверно известно, что данные скомпрометированы, ему стоит направить уведомление об этом в Роскомнадзор, не дожидаясь публикации данных злоумышленниками после 30 мая. Кроме того, после вступления в силу новой редакции КоАП не только сам факт, но и неуведомление Роскомнадзора об утечке персональных данных также будет рассматриваться как правонарушение.
«Поэтому у компаний до 30 мая есть время, чтобы проинформировать уполномоченные органы о произошедших ранее инцидентах. И тогда, соответственно, к ним будут применяться меры ответственности, предусмотренные действующим сегодня законодательством», – обратил внимание Милош Вагнер.
Старший юрист практики интеллектуальной собственности и технологий Denuo Михаил Шолохов отметил нюансы нового регулирования, которые важно учитывать представителям бизнеса. «Практически любая компания сегодня является оператором ПДн, и новые нормы, включая штрафы, могут применяться ко всем операторам, исключения не предусмотрены. Особый риск представляют взыскания за компрометацию специальных категорий ПДн и биометрических данных – лучше минимизировать их хранение, потому что даже утечки одной записи достаточно для очень существенных штрафов. Также важна работа над бизнес-процессами, над осведомленностью персонала о процессе обработки персональных данных. Мы видим, что основная причина утечек – это человеческий фактор, поэтому работа с сотрудниками, обучение и разъяснение могут заметно снизить риски штрафов», – отметил Михаил Шолохов.
Ключевой вопрос – осознание проблемы и ее масштабов
Подготовка к изменениям в законодательстве, которые вступают в силу с 30 мая, для бизнеса достаточно трудоемкая, отметила модератор дискуссии, президент ГК InfoWatch и председатель правления АРПП «Отечественный софт» Наталья Касперская. Она поделилась результатами опроса представителей российских компаний, который провели ГК InfoWatch и Ассоциация BISA, чтобы выяснить готовность бизнеса к изменениям в законодательстве и ужесточению ответственности за утечки. По данным опроса, 58% респондентов принимают организационные меры и готовятся к проверкам. С другой стороны, 28% опрошенных компаний бездействуют или не считают эти изменения чем-то важным. При этом 53% респондентов планируют или уже приняли необходимые меры, но уверенности в том, что они все предусмотрели, у них, тем не менее, нет.
«На вопрос о том, чего вам не хватает для улучшения защиты персональных данных в вашей организации, респонденты назвали не финансовую поддержку, не технические средства или какие-то другие материальные ресурсы – почти половина опрошенных (45%) отметили отсутствие понимания руководства и сотрудников. Это говорит о том, что проблема утечек персональных данных – это вопрос осознания проблемы руководством и внутри организации, понимания того, что защита данных – это задача всей компании, а не только службы безопасности», – подчеркнула Наталья Касперская.
Оценить подлинные масштабы проблемы и осознать риски утечек данных российскому бизнесу только предстоит, отмечает Михаил Смирнов, эксперт и главный редактор Ассоциации по вопросам защиты информации (BISA). Согласно подсчетам информационно-аналитического центра (ЭАЦ) InfoWatch на базе исследования группы ЦИРКОН, 26% компаний считают проблему утечек данных несущественной, но при этом сотрудники 25% предприятий подтвердили, что за последние три года в их организации происходили утечки данных, и чаще всего их было две и больше.
«Замечу, что на сегодняшний день только в 35% российских компаний сформированы методики оценки ущерба от утечек данных. Это означает, что масштабы проблемы по-настоящему еще не осознаны и весьма недооценены. Между тем, объем скомпрометированных персональных данных демонстрирует угрожающую динамику – в 2024 году из российских компаний утекло более 1,5 млрд записей ПДн, рост более чем на 30% год к году, согласно подсчетам ЭАЦ InfoWatch», – говорит Михаил Смирнов.
Технический директор компании F6 Никита Кислицын привел статистику по утечкам баз данных в первом квартале 2025 года. Аналитики департамента киберразведки компании F6 зафиксировали 67 новых случаев утечек баз данных, впервые появившихся в открытом доступе – в Telegram-чатах и на теневых форумах. За этот же период в 2024 году таких утечек было 95. Как и раньше, большинство похищенных баз данных выкладываются в публичный доступ, в основном в Telegram-каналах, для нанесения наибольшего ущерба компаниям и их клиентам, отмечают в F6.
«Утечки баз данных остаются одной из главных киберугроз для российского бизнеса — количество бесплатных публикаций росло последние три года. Тем не менее, начиная с января 2025 года мы фиксируем активные блокировки закрытых Telegram-чатов, которые распространяли утекшие базы. В итоге количество новых утечек в первом квартале этого года сократилось почти на 30%. По нашим данным, администрация Telegram начала жестче блокировать чаты и каналы за нелегальный контент, спам и подозрительную активность. Это не победа, но важный сдерживающий фактор», – отмечает Никита Кислицын.
Утечки данных – первопричина мошенничества
По данным ЭАЦ InfoWatch, именно ПДн остаются самым востребованным типом данных на черном рынке. Примечательно, что в 2024 году почти треть (29%) из всех попавших в даркнет персональных данных – это аутентификационная информация пользователей: пароли и логины, в том числе номера мобильных телефонов, адреса электронной почты. В дальнейшем эта информация становится базой для самых разных видов мошенничества в отношении граждан.
«Утечки персональных данных – это проблема, которая затрагивает не только бизнес, но и всех без исключения жителей нашей страны. Важно понимать, что именно утечки становятся первопричиной мошенничества, той почвой, на которой растут бесконечные звонки от фейковых служб безопасности и сотрудников правоохранительных органов. По оценкам крупнейших банков, в прошлом году граждане потеряли из-за телефонного мошенничества до 295 млрд руб., это колоссальные масштабы ущерба. Снизить его помогут только совместные усилия регуляторов и бизнеса, направленные на работающую и эффективную защиту данных», – подчеркнула Наталья Касперская.
