Штрафы за утечку данных

Согласно данным "РБК" завершена разработка законопроекта с поправками в КоАП. В документе предлагается ввести штрафы для компаний, которые не смогли обеспечить сохранность персональных данных. Сейчас документ находится на согласовании в нескольких структурах правительства.

Подробнее о штрафах:

1. Если утечка содержит данные от 1 до 10 тысяч субъектов персональных данных граждан РФ, тогда штраф для юридических лиц будет от 3 до 5 миллионов рублей;
2. Если утечка содержит данные от 10 до 100 тысяч субъектов персональных данных граждан РФ, штраф от 5 до 10 миллионов рублей;
3. И если утечка содерджит данные более 100 тысяч субъектов персональных данных граждан РФ, то штраф составит от 10 до 15 миллионов рублей.

Впечатляющие цифры, предполагаем что таким образом власти РФ хотят донести до российских компаний насколько важно сохранять конфиденциальность информации. Ведь до сих пор многие компании в коммерческом и муниципальном секторе продолжают балансировать между соблюдением требований и реальной защитой данных.

Вышеперечисленными штрафами документ не ограничивается, в нем также указывается что:

1. Повторное нарушение при любом объеме дискредитированной информации от 1 тысячи субъектов персональных данных будет наказываться штрафом в размере от 0,1 до 3% выручки компании за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 миллионов рублей и не более 500 миллионов рублей.
2. Утечка биометрических персональных данных будет наказываться штрафом юридического лица на сумму от 15 до 20 миллионов рублей.

Законопроект содержит информацию о введении штрафных санкций за утечку персональных для граждан и должностных лиц.

Причиной внесения таких серьёзных изменений в Кодекс об административных правонарушениях - это статистика массовой утечки данных в 2022 году на основании проведённых исследований.
Только представьте: за 2022 год в России зафиксированы утечки персональных данных, которые суммарно составляют 300 миллионов пользовательских данных. В которых содержатся пароли, почты, телефоны и другие данные клиентов и сотрудников.

Львиная доля утечек приходится на крупные частные компании со сложной многофилиальной инфраструктурой. Согласно отчету об исследовании "Лаборатории Касперского" - лидеры по утечкам это сферы ритейла и доставки.

Классическая защита уже не работает. Недостаточно защитить периметр установкой межсетевого экрана, нужен комплексный подход. Чтобы понять какие решения необходимы нужно учесть множество факторов:

• Архитектура компании - малый офис, большая компания с подразделениями, крупная компания с филиалами;
• Специфика деятельности - особенности сферы деятельности компании;
• Используемое ПО - собственная разработка, зарубежный разработчик или российский разработчик.
• Средства защиты - какие методы защиты используются сейчас;
• Политики безопасности;
• Влияние защиты на основные бизнес-процессы;
• И другие.

1. Проводите регулярную инвентаризацию IT-инфраструктуры для контроля ее изменений. В случае обнаружения новых устройств специалисты ИБ смогут среагировать оперативно.
2. Анализируйте сетевой трафик на периметре и внутри сети. Помните, что злоумышленник может давно присутствовать в IT-инфраструктуре и увеличивать свое присутствие.
3. Проверяйте внутренний трафик на вредоносное ПО.
4. Блокируйте эксплуатацию уязвимости, для закрытия которой, вендор еще не выпустил обновление.
5. Отслеживайте целевые и массовые атаки на всех уровнях, включая L7.

Если Вам нужна помощь, обращайтесь в "Экстрим безопасность". Мы имеем опыт защиты IT-инфраструктуры в разных отраслях, поэтому знаем где чаще всего могут быть слабые места.