"Это не техническая проблема": защита персональных данных от утечек сегодня

В статье приведены аргументы в пользу острой необходимости принятых 30 ноября 2024 года федеральных законов, ужесточающих ответственность за нарушение норм обработки персональных данных и их утечки. Последние изменения ландшафта угроз информационной безопасности выдвигают на первый план не технические, а организационно-правовые аспекты защиты персональных данных во всем мире.  Усиление организационно-правовой защиты персональных данных обосновано в контексте новых мировых трендов обеспечения кибербезопасности.
 
30 ноября 2024 года в России приняты два закона: ужесточающий административную[1] и вводящий уголовную ответственность[2] за утечку персональных данных (далее - ПДн). Размер штрафа теперь будет напрямую зависеть от объема утечки: для юридических лиц он составит от 5 млн до 15 млн руб. за первичную утечку и от 1 до 3% от прошлогоднего оборота компании при повторной утечке. Размер оборотных штрафов будет варьироваться от 20 млн руб. до максимальных 500 млн руб. Поправки затронули не только компании, но и злоумышленников, продающих украденные данные. В отношении их вводится уголовное наказание за незаконное хранение, сбор и передачу ПД, полученных незаконным путем, которое предусматривает до 10 лет лишения свободы.
Ужесточение уголовной и административной ответственности за утечки персональных данных в России активно обсуждается сегодня экспертами и специалистами-практиками, работающими в среде информационной безопасности.
            Казалось бы, при катастрофически растущих объемах финансовых потерь от утечек персональных данных особых споров не должно было быть. Однако - есть не только сторонники принятых решений, но и противники, которые аргументируют свою позицию дефицитом финансовых средств, сомнениями по поводу эффективности штрафов.
            Зададимся вопросом:
А можно ли было и далее откладывать ужесточение российского законодательства в области ПДн? Полагаем - нет, и вот почему.
  1. Растущий ущерб от утечек ПДн.
По заявлению Следственного комитета России, за девять месяцев 2024 года ущерб от мошенников в результате утечек ПДн граждан составил 150 млрд рублей, из которых 15 млрд пришлось на операции без согласия клиента.
Сбербанк оценил суммарные потери российской экономики от мошеннических схем (кибератаки, звонки мошенников, утечки данных и т. д.) в 1 трлн руб. И, как утверждает заместитель председателя правления банка С. Кузнецов, ущерб от мошеннических звонков и утечек персональных данных (ПД) российских граждан по итогам 2024 года может достигнуть 250 млрд руб.[3]  Впечатляющая статистика. Каковы причины?
  1. Низкий уровень безопасности и защиты информации в российских организациях, из-за чего происходят утечки ПДн.
Первый заместитель директора ФСТЭК России В. Лютиков заявил, что с конца 2023 года во ФСТЭК России получили полномочия по анализу состояния защиты информации и начали применять в 2024 году новую методику оценки. Она была применена к более чем 100 организациям. По результатам оценки, «базовый уровень безопасности обеспечен только в 10 % организаций. В 39 % компаний состояние безопасности и защиты информации характеризуется как низкое. У 51 % компаний состояние ИБ можно оценить как катастрофическое» [4].
На этот факт обратил внимание и руководитель технико-криминалистического управления главного управления криминалистики (Криминалистический центр) Следственного комитета (СК) И. Стрельцов. По его словам, «несмотря на то, что крупные и государственные компании достаточно эффективно защищают себя, они хуже осведомлены, как защищать ПДн»[5].
  1. Опережающее применение киберпреступниками новейших технологий искусственного интеллекта (ИИ) для кражи ПДн.
Согласно исследованию Global Digital Trust Insights 2024, проведенному PwC, инновационная новая технология — генеративный ИИ — одно из главных крупных изменений, которое является разрушительным само по себе и несет с собой новые угрозы[6]. Однако новые техника и технологии – не главное.
  1. Недооценка нетехнического, организационно-правового характера
проблемы утечек ПДн.
По мнению вице-президента по ИБ в компании «Билайн» А. Волкова, «инциденты, которые происходили с момента начала СВО, показывают, что даже у крупных компаний, <тратящих значительные средства на развитие собственной системы ИБ>, случаются неприятности. Даже если компания потратит 100 % своего бюджета на ИБ, у тех, кто атакует, бюджет всё равно больше». «Безопасность нельзя купить, безопасность нельзя построить, её можно только взрастить. Нужно менять организационную культуру. Но это требует больше времени, чем один год»[7].
На подобных позициях стоят и зарубежные эксперты. Повышение киберустойчивости организаций не является технической задачей – к такому выводу пришли авторы ежегодного обзора Национального центра кибербезопасности Великобритании (NCSC) 2024 год. Слишком многие организации не внедряют минимальный, но эффективный стандарт безопасности Cyber Essentials - рекомендуемые центром самые базовые меры защиты. В прошлом году NCSC выдал только 30 000 сертификатов Cyber Essentials, поскольку коммерческие стимулы, поощряющие её внедрение, несовершенны[8]. Пути решения проблемы Великобритания видит в необходимости осознать серьезность киберугрозы. Нам нужно, - гласит документ, - «чтобы все организации, государственные и частные, рассматривали кибербезопасность как неотъемлемую часть операционной устойчивости и движущую силу роста бизнеса. Рассматривать кибербезопасность не просто как «неизбежное зло» или функцию соблюдения требований, но как инвестицию в бизнес и катализатор инноваций. Защита систем и предотвращение утечек данных, но в то же время защита репутации, укрепление доверия и удержание клиентов».
К подобным выводам приходят и другие игроки рынка ИБ. Так, согласно исследованию Global Digital Trust Insights 2024, проведенному PwC, более 30% компаний не следуют последовательно тому, что должно быть стандартными практиками киберзащиты [9]. Поэтому, кроме использования генеративного ИИ, авторы исследования PwC включают в сценарий крупных организационных изменений в кибербезопасности:
  • настойчивость руководства в вопросах модернизации и улучшения технологическая инфраструктура и инвестиции в год сокращения расходов и макроэкономической неопределенности;
  • правила, требующие открытости в отношении киберинцидентов и методы управления рисками, которые могут открыть новую эру прозрачности и сотрудничества;
  • рост гибридных киберугроз и размывание границ грань между шпионажем и киберпреступностью, что позволит более полно вывести киберзащиту на уровень национальной безопасности.
На последний тренд обратим особое внимание – он связан с изменением ландшафта угроз ИБ не только за рубежом, но и в России в условиях СВО. Мы акцентировали на этом внимание в одной из наших статей. На первый взгляд, происходит снижение выявляемых утечек данных по вине персонала. Но на самом деле все чаще происходит объединение внутренних и внешних нарушителей, поскольку противоборство в киберпространстве стало неотъемлемой частью всех военных конфликтов. Внутренних нарушителей становится все сложнее обнаружить в условиях распространения искусственного интеллекта и других современных технологий, при развитии практики гибридной работы [10].
На тенденцию интеграции внутренних нарушителей ИБ и внешних злоумышленников указывают также самые последние отечественные исследования. Согласно отчету компании Infowatch (2024), внутренних нарушителей в качестве основных источников утечек данных называли 43% респондентов, работающих в средних компаниях, 41% сотрудников обособленных подразделений, а также 48% руководителей и заместителей руководителей подразделений информационной, экономической и финансовой безопасности. При этом респонденты, которые склонны считать, что к утечкам чаще приводят умышленные действия, чаще говорили о совместных действиях сотрудников и внешних нарушителей (32%)[11].  Такие гибридные угрозы ИБ уже, действительно, следует рассматривать в контексте   национальной безопасности. И, следовательно, остро актуальным, жизненно необходимым становится усиление правовой защиты ПДн от утечек, повышение ответственности за утечки ПДн. Как справедливо отметил регулятор, «всё, что сегодня происходит по части утечек, — это из-за недостаточной эффективности принимаемых мер наказания»[12].
Как результат низкого уровня эффективности – еще бытующая недооценка утечек. Так, по данным опроса 2024 года, 26% опрошенных считают проблему утечек информации в российских компаниях несущественной или вообще не видят проблему утечек[13]. Поэтому строгое соблюдение законодательства о ПДн как неотьемлемой части организационно-правовой защиты ПДн позволит любой организации осознать саму проблему утечек и ее нетехнический характер.
Выводы.
В России растет число утечек ПДн и ущерб от них.
Причины:
  • безопасность и защита ПДн в организациях находится на низком уровне;
  • киберпреступники опережают защитников, применяя для кражи ПДн новейшие технологии искусственного интеллекта (ИИ);
  • недооценивается нетехнический характер проблемы защиты ПДн, организационно-правовые меры их защиты:
    • организации недостаточно развивают организационно-управленческую защиту ПДн (организационную культуру, культуру ИБ, целостные системы управления ИБ);
    • государство до недавнего времени мирилось с неэффективностью мер правовой ответственности за утечки ПДн.
К организационно-правовым мерам защиты от утечек Пдн относится не только организационная культура, культура информационной безопасности, организация системы ИБ и управления ею, но и правовая защита ПДн. Поэтому и нельзя было более откладывать ужесточение российского законодательства в области ПДн.
Да, будут неизбежные организационно-управленческие (в том числе ресурсные) и правовые проблемы, на решение которых понадобится   много времени, средств и сил. Но, как говорится, ведь и «Москва не сразу строилась». Например, большинство стран Европейского союза оказались не готовы к установленному сроку (17 октября 2024 года) новых требований по кибербезопасности, к которым их обязала новая Директива по кибербезопасности (NIS2). Между тем, нарушение регламента может обойтись организациям, оказывающим жизненно важные услуги, в 10 миллионов евро или 2% от годового дохода[14].   Главное – работа по согласованию и внедрению этих требований идет.
Если не начинать решать проблемы защиты ПДн сейчас – наказание за нарушение действующих правил обработки ПДн будет суровым согласно новому законодательству. При этом согласно новым нормам, штраф может быть значительно снижен, если нет отягчающих обстоятельств, а инвестиции компании в информационную безопасность на протяжении трех лет составляли не менее 0,1% от выручки и компания соблюдала требования к защите данных. Поэтому ужесточение ответственности за утечку в области ПДн – это в большей степени принуждение организаций к соблюдению всех действующих в России законодательных норм обработки ПДн.
Одно из препятствий для реализации этих норм – это отсутствие в организации специалистов по ИБ. Есть два надежных способа решения этой проблемы:
2) аудит и аутсорсинг по вопросам обработки и безопасности ПДн в организации.
Новые изменения еще не вступили в силу – есть время связаться с нами.
Астахова Л.В., д.п.н., профессор, зам. директора по методической и научной работе Института МОИБ
 


[1]  Федеральный закон от 30 ноября 2024 г. N 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" Вступает в силу с 30 мая 2025 г.

[2]  Федеральный закон от 30 ноября 2024 г. N 421-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации" Вступает в силу с 11 декабря 2024 г.

[3]  СК оценил ущерб от мошенников за девять месяцев 2024 года / https://www.vedomosti.ru/finance/articles/2024/12/05/1079559-sk-otsenil-uscherb-ot-moshennikov

[4]  Смогут ли штрафы за утечки данных поднять низкий уровень ИБ в российских компаниях / https://www.anti-malware.ru/analytics/Technology_Analysis/Fines-for-data-leaks-to-raise-information-security-level

[5]   СК оценил ущерб от мошенников за девять месяцев 2024 года / https://www.vedomosti.ru/finance/articles/2024/12/05/1079559-sk-otsenil-uscherb-ot-moshennikov

[7]  Смогут ли штрафы за утечки данных поднять низкий уровень ИБ в российских компаниях / https://www.anti-malware.ru/analytics/Technology_Analysis/Fines-for-data-leaks-to-raise-information-security-level

[8]  Ежегодный обзор Национального центра кибербезопасности Великобритании (NCSC) 2024 год / https://www.ncsc.gov.uk/collection/ncsc-annual-review-2024/chapter-02/realising-a-more-secure-and-prosperous-cyber-future

[10] Утечки информации ограниченного доступа в России за 2022-2023 / InfoWatch. 2024 / https://www.infowatch.ru/analytics/analitika/rossiya-utechki-informatsii...

[11] Из-за чего чаще случаются утечки информации: итоги опроса / https://www.infowatch.ru/analytics/analitika/iz-za-chego-chasche-sluchayutsya-utechki-informatsii-itogi-oprosa  

[12] Смогут ли штрафы за утечки данных поднять низкий уровень ИБ в российских компаниях /  https://www.anti-malware.ru/analytics/Technology_Analysis/Fines-for-data-leaks-to-raise-information-security-level

[13] Смогут ли штрафы за утечки данных поднять низкий уровень ИБ в российских компаниях / https://www.anti-malware.ru/analytics/Technology_Analysis/Fines-for-data-leaks-to-raise-information-security-level

[14] Страны ЕС оказались не готовы к требованиям по кибербезопасности / https://www.infowatch.ru/analytics/novosti-ib/strany-es-okazalis-ne-gotovy-k-trebovaniyam-po-kiberbezopasnosti

Ключевые слова: