2025/04/15 16:57:01

Как наказать виновника утечки персданных (и избежать штрафов для организации)

Формируем сильную правовую позицию, чтобы без потерь оправиться от инцидента. 30 мая вступят в силу изменения в ст. 13.11 КоАП, которые увеличат штрафы за инциденты с персональными данными до 150 раз. Наказание за первую утечку может достигнуть 15 млн рублей, за повторную — до 3% от оборота компании. Но компания понесет наказание, только если нет оснований привлечь к ответственности виновника слива. Как его найти и доказать его вину? Разбираемся по шагам.

Содержание
Дмитрий Вощуков
GR-специалист «СёрчИнформ»

Правовая база

Статья 13.11 КоАП предполагает, что штрафами на организации наказываются только нарушения, которые «не содержат признаков уголовно наказуемого деяния». Ответственность в таком случае устанавливает новая статья 272.1 УК РФ. Она определяет, что ответственность за утечку персданных несет гражданин, если его действия имеют признаки преступления. Такими признаками могут быть:

  • отсутствие легальных прав доступа к персональным данным;
  • нарушение порядка доступа к персональным данным;
  • хищение носителя информации с персданными;
  • целенаправленный взлом или внедрение вредоносного ПО с целью выгрузки персданных.

Большинство преступлений в сфере компьютерной информации (ст. 272-274 УК РФ) расследует МВД. Перед обращением туда важно провести служебное расследование или проверку: разобраться в обстоятельствах нарушения, убедиться в причастности сотрудника к инциденту и собрать доказательства, подтверждающие его вину. Если вина инсайдера подтвердится, компания сможет избежать штрафов.

Как провести расследование

Прежде всего, еще до инцидента, в компании нужно принять внутренний локальный акт — Положение о служебном расследовании. В рамках расследования понадобится:

1. Установить обстоятельства инцидента.

Что выяснить?

  • Какие данные пострадали? Есть ли эти данные в инфраструктуре компании?
  • Не было ли признаков хакерской атаки?
  • Были ли приняты меры защиты до инцидента?
  • Был ли факт неправомерного выноса данных: выгрузка в личное облако или на флешку, пересылка в почте или мессенджере, фото с экрана.
  • Время и место инцидента: офис компании, home office сотрудника, иное место.
  • Круг причастных сотрудников.

Как выяснить?

  • Сопоставить утекшие данные с файлами компании, учитывая все возможные дубликаты и редакции;
  • Восстановить историю обращений к местам хранения пострадавших файлов, выявить кто, в каком объеме, в каких программах работал с пострадавшими файлами;
  • Проанализировать, как и по каким каналам эта информация передана вовне;
  • Собрать суммарный отчет по инциденту: объем пострадавших данных, какие ПДн раскрыты, оценка возможного вреда, результаты внутреннего расследования.

Как помогут ИБ-системы?

DCAP-система проанализирует:

  • Какие файлы в компании являются конфиденциальными и содержат персданные;
  • У каких пользователей есть доступ к таким файлам;
  • Кто и как открывал, копировал и перемещал эти файлы в последнее время.

Отчет SIEM-системы даст понять:

  • Есть ли в IT-инфраструктуре компании уязвимости, которыми могли воспользоваться хакеры;
  • Возникали ли в ПО или на оборудовании компании инциденты ИБ или потенциально опасные события.

DLP-система покажет:

  • Как данные выгружались на устройства пользователей из корпоративных хранилищ и бизнес-систем;
  • Загружали ли их в интернет, пересылали или фотографировали.

Вместе эти ИБ-инструменты соберут все обстоятельства произошедшего, а заодно покажут, что организация принимала меры защиты персональных данных. Ведь наличие и грамотная настройка СЗИ уже минимизируют риск утечки ПДн и предотвращают большинство попыток слива.

Как это оформить?

Руководитель службы ИБ, зафиксировав инцидент, излагает его события в служебной записке.

Руководитель организации, получив эту записку, издает приказ о служебном расследовании в отношении вероятных нарушителей.

Сведения об инциденте в течение суток с его обнаружения необходимо передать в Роскомнадзор.

2. Установить личность и вину инсайдера:

Что выяснить?

  • Кто работал с утекшими файлами?
  • Был ли сотрудник на рабочем месте или под его учеткой заходил чужой?
  • Уполномочен ли сотрудник работать с персданными? Ознакомлен ли с локальными актами по ИБ?
  • Был ли у него мотив к выносу данных?
  • Подвергался ли сотрудник социальной инженерии?

Как выяснить?

  • Восстановить историю работы на компьютере, где хранились файлы.
  • Провести ревизию должностных инструкций и трудовых договоров с подозреваемым сотрудником.
  • Оценить активность и продуктивность вероятного нарушителя за 1-2 недели до инцидента.
  • Восстановить историю его коммуникаций за 1-2 недели до инцидента.
  • Запросить объяснения вероятного нарушителя.

Как помогут ИБ-системы?

DLP-система покажет:

  • Кто работал с пострадавшими файлами, на каком устройстве и под какой учеткой;
  • Что делали с пострадавшими файлами;
  • Были ли разрешены эти действия подозреваемому;
  • Имел ли подозреваемый конфликты с коллегами или проблемы, мешающие работе, например, долги или зависимости;
  • Общался ли подозреваемый с конкурентами, уволенными сотрудниками или заказчиками «пробива»;
  • Получал ли подозреваемый фишинговые письма, сообщения или звонки.

Как оформить?

Нужно подготовить акт служебного расследования. К нему приобщают докладную записку руководителя ИБ, выгрузки из СЗИ, пояснения ИБ-специалистов, объяснительную записку нарушителя. Виновник должен быть ознакомлен с актом.

Что дальше?

Во-первых, операторам ПДн нужно направить второй отчет об утечке: передать в Роскомнадзор результаты расследования инцидента. На это у компании есть 3 суток с момента обнаружения инцидента. Современные СЗИ облегчают и эту задачу. Они автоматизируют изучение обстоятельств нарушения и подготовку отчетов. Важно, чтобы системы ИБ были сертифицированы и установлены легитимно, а сотрудники знали об их применении.

Если расследование выявило умышленный слив ПДн, компания должна отразить это в уведомлении для Роскомнадзора и акте служебного расследования. В нем нужно указать, что обнаружены противоправные действия сотрудника и принято решение передать собранные материалы в правоохранительные органы. Заявление подается в орган МВД по месту нахождения организации. К нему нужно приложить:

  • все материалы служебного расследования,
  • политику обработки персданных в организации,
  • должностную инструкцию работника,
  • приказ о введении в эксплуатацию ИБ-средств.

Нужно оставаться на связи с МВД и обязательно получить копию постановления о возбуждении уголовного дела. А когда начнутся следственные действия, показать сотрудникам полиции отчеты СЗИ и дать по ним комментарии.

Запуск уголовного дела и расследование преступления — иногда длительный процесс. Если за это время регулятор составит протокол об административном правонарушении в компании, его нужно будет обжаловать. Главное — сослаться на наличие признаков преступления, сообщить о заявлении в МВД и расследовании в отношении инсайдера.

Как это работает?

Хотя «профильная» уголовная статья появилась недавно, в судах есть практика, когда инсайдеров привлекали к ответственности за инциденты с ПДн.

В 2021 году суд приговорил сотрудника крупной компании к 6 месяцам исправительных работ за кражу персданных и коммерческой тайны у работодателя. Инсайдер копировал такие файлы на флешку и пересылал их по незащищенным каналам. В компании действовали регламенты по обороту и защите информации, которые прямо запрещали такие действия. Все свидетельства нарушений сохранила DLP-система, это позволило доказать вину сотрудника. Жалобы инсайдера суд отклонил.

В 2019 году два инсайдера получили условные сроки за слив базы с персданными абонентов сотового оператора. Бывший и действующий сотрудники воспользовались аккаунтом другого работника, чтобы отвести от себя подозрения. Но утечку выявила DLP, которая исключила причастность настоящего владельца учетки. Доказательствами в суде стали показания ИБ-специалистов.

В другом громком кейсе руководитель подразделения банка выгрузил большой объем персональных данных для продажи в даркнете. Объемный файл он разбил и замаскировал под видео. Часть успел опубликовать. В банке была установлена SIEM, которая зафиксировала выгрузку файлов, на этом основании провели служебное расследование, привлекая данные из DLP. Доказательствами в суде стали показания ИБ-специалистов, работавших с этими системами. В результате нарушитель получил 2 года 10 месяцев заключения. Банк за утечку не оштрафовали, и более того: суд удовлетворил его требование о компенсации ущерба.

В итоге

Судебная практика показывает, что использование ИБ-решений повышает шансы привлечь реального инсайдера к ответственности за утечку. Главное, чтобы компания легитимно применяла ИБ-средства и оперативно провела ИБ-расследование.

Наличие СЗИ также послужит смягчающим обстоятельством, если за инцидент отвечает компания. С ними повторная утечка ПДн обойдется организации до 10 раз дешевле.

Но в первую очередь DLP, DCAP и SIEM-системы снижают вероятность нарушений. Они создают безопасные сценарии обработки данных, ограничивают доступ к ПДн и блокируют попытки сливов. Поэтому до суда над инсайдерами может не дойти: инцидент будет пресечен на ранней стадии и не повлечет вредных последствий.

Подробнее о защите ПДн и перспективах применения оборотных штрафов за утечки ИБ-директора крупнейших компаний расскажут на конференции «Про ИБ без воды: Практика. Тренды. Решения». Мероприятие пройдет 24 апреля в Москве, руководители направлений ИБ могут получить бесплатные приглашения при предварительной регистрации.

Источник — «http://zdrav.expert/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9A%D0%B0%D0%BA_%D0%BD%D0%B0%D0%BA%D0%B0%D0%B7%D0%B0%D1%82%D1%8C_%D0%B2%D0%B8%D0%BD%D0%BE%D0%B2%D0%BD%D0%B8%D0%BA%D0%B0_%D1%83%D1%82%D0%B5%D1%87%D0%BA%D0%B8_%D0%BF%D0%B5%D1%80%D1%81%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85_(%D0%B8_%D0%B8%D0%B7%D0%B1%D0%B5%D0%B6%D0%B0%D1%82%D1%8C_%D1%88%D1%82%D1%80%D0%B0%D1%84%D0%BE%D0%B2_%D0%B4%D0%BB%D1%8F_%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8)»

Править
Короткая ссылка

Реклама.

erid: 2W5zFJgK29n

Компания: ООО "СёрчИнформ"

ИНН\ОГРН: 7704306397\1157746137955

Сайт: перейти
«Кибер Протего 10.5» — защита для самого ценного
В Ярославле заработала цифровая модель Осташинского кладбища, чтобы любой желающий мог быстро найти могилу
Мишустин утвердил создание на Урале особой экономической зоны по производству роботов
Объем российского рынка больших данных и ИИ за год достиг 320 млрд рублей
Как цифровые технологии помогают реализовать пациентоцентричную модель здравоохранения
Автоматизация бизнес-процессов экономит ресурсы и повышает эффективность работы: опыт Ноябрьской ЦГБ
Американская вакцина от гриппа Novavax повреждает нервы. Власти США запретили ее вводить
В устройствах для экстренного восстановления дыхания новорожденным и младенцам американской Mercury Medical отваливаются контроллеры
Детское питание Abbott вызывает некроз. Компания оштрафована на $0,5 млрд
Салехардская окружная клиническая больница успешно внедряет технологию цифрового ЭКГ