Вернуться назад
Утечка персональных данных: порядок действий, штрафы и рекомендации для компаний в 2025 году
Вашу компанию взломали. Время на принятие решений измеряется часами, а цена ошибки — миллионами. Что делать при утечке персональных данных? Пошаговый гайд от экспертов F6, который убережет от паники, штрафов и потери доверия.
Недавно компьютерные криминалисты F6 столкнулись с несколькими инцидентами, которых объединяли схожие факторы развития событий, а также лавинообразное возникновение вопросов, требующих незамедлительной реакции. Представьте момент, когда в течение нескольких часов узнаете, что:
- Работоспособность инфраструктуры Компании нарушена
- СМИ активно распространяют информацию об утечке персональных данных из вашей инфраструктуры в результате масштабной хакерской атаки
- Хакеры требуют выкуп, угрожая обнародовать полную базу персональных данных
- ГосСОПКА уведомляет вас об утечке ПДн и запрашивает проведение расследования
- Количество претензий от ваших клиентов и партнеров стремительно растет.
В такие моменты важно понимать, какие действия необходимо предпринять, а каких следует избегать. В этом материале мы подробно рассмотрим обязанности по реагированию на утечку в соответствии с актуальными требованиями законодательства РФ, особенно связанного с обработкой и защитой персональных данных.
Что не следует делать после утечки ПДн?
Когда количество негативных новостей в СМИ увеличивается лавинообразно, возникает желание найти «самое простое решение» для остановки этой волны — выплатить мошенникам выкуп. Но это самая обманчивая иллюзия.
Криминалисты F6 предупреждают о следующих рисках, связанных с взаимодействием с мошенниками:
- Уголовная ответственность. Выплата выкупа может лишь способствовать дальнейшим преступлениям. В соответствии с Уголовным кодексом РФ, финансирование преступной деятельности (например, терроризма) может повлечь за собой уголовную ответственность. Если выплата будет расценена как поддержка преступной группы или террористической организации, это может быть квалифицировано как преступление.
- Нет гарантии результата. Даже если выкуп будет выплачен, нет никаких гарантий, что злоумышленники вернут данные или прекратят свои вредоносные действия. Они могут просто взять деньги и продолжить свои преступления.
- Увеличение рисков. Выплата выкупа может сделать вашу компанию более привлекательной целью для будущих атак, так как злоумышленники поймут, что вы готовы платить.
- Проблемы с репутацией. Если станет известно, что компания выплатила выкуп, это может негативно сказаться на ее репутации среди клиентов, партнеров и общественности.
- Обязанности по уведомлению. В случае кибератак и утечек данных организации обязаны следовать требованиям законодательства, в том числе Закона о персональных данных и других нормативных актов. Невыполнение этих требований может привести к административным штрафам.
Какие действия необходимо предпринять в соответствии с требованиями законодательства?
В соответствии с п. 3.1. ст. 21 Федеральным законом № 152-ФЗ «О персональных данных», при выявлении факта неправомерной или случайной передачи персональных данных (далее – утечка) оператор персональных данных обязан дважды уведомить уполномоченный орган по защите прав субъектов персональных данных о произошедшем инциденте и о результатах внутреннего расследования. Требования к данным уведомлениям рассмотрим в таблице ниже.
| Уведомление | Срок | Требуемая информация |
| О произошедшем инциденте | 24 часа* |
|
| О результатах внутреннего расследования | 72 часа* |
|
*- сроки указываются с момента выявления инцидента неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных
Научим правильно работать с ПДн
Какие санкции установлены?
30 мая 2025 года вступили в силу изменения ответственности за нарушения в сфере персональных данных. Федеральный закон № 420-ФЗ от 30 ноября 2024 года вносит серьёзные поправки в статью 13.11 КоАП РФ, которая регулирует нарушения в сфере защиты персональных данных.
За неуведомление об утечках персональных данных или несвоевременное уведомление предусмотрены штрафные санкции для юридических лиц: от 1 000 000 до 3 000 000 рублей.
Новые требования вводят градацию штрафов в зависимости от вида, количества пострадавших субъектов или идентификаторов при утечке ПДн:
- Утечка данных 1 000 – 10 000 субъектов или 10 000 – 100 000 идентификаторов: штраф для юридических лиц от 3 000 000 до 5 000 000 рублей.
- Утечка данных 10 000 – 100 000 субъектов или 100 000 – 1 000 000 идентификаторов: штраф для юридических лиц от 5 000 000 до 10 000 000 рублей.
- Утечка данных >100 000 субъектов или >1 000 000 идентификаторов: штраф для юридических лиц от 10 000 000 до 15 000 000 рублей.
- Утечка специальных (например, данные о здоровье) или биометрических данных влечет повышенные штрафы для юридических лиц: от 10 000 000 до 15 000 000 рублей за специальные данные и до 20 000 000 рублей за биометрические.
Для компаний, ранее привлекавшихся к ответственности за утечки данных, вводятся штрафы в размере 1–3% от годовой выручки, но не менее 20 000 000 рублей и не более 500 000 000 рублей.
Как работают оборотные штрафы?
Давайте разберемся, как работают оборотные штрафы. Для привлечения к ответственности за повторную учетку необходимо, чтобы компания уже получала штраф за аналогичное нарушение в течение прошлого года. Эксперты F6 отмечают, что существует высокий риск повторных инцидентов кибербезопасности в Компаниях, которые уже стали жертвами хакеров. Вот основные причины, почему компании становятся жертвами атак повторно:
- Недостаточные инвестиции в безопасность
- Неполное устранение последствий инцидентов, отсутствие их анализа и работы над ошибками;
- Невозможность резко повысить уровень кибербезопасности компании за короткий промежуток времени (отсутствие персонала с должными компетенциями и необходимых СЗИ и т.д.);
- Низкий уровень цифровой гигиены среди сотрудников Компании
- Несогласованность процессов и слабая культура безопасности. ИТ, ИБ и бизнес не выстраивают единую стратегию защиты, а меры защиты персональных данных носят формальный характер.
- Отсутствие процессов управления уязвимостями.
Какие действия необходимо предпринять для минимизации риска?
Уделяйте должное внимание состоявшимся инцидентам. Реагирование на инцидент позволит выявить:
- как и когда был осуществлен первоначальный нелегитимный доступ в ИТ-инфраструктуру;
- как злоумышленники развивали атаку и какие инструменты использовали;
- к какой информации получили доступ и были ли факты ее эксфильтрации;
- как злоумышленники закрепились в инфраструктуре, в т.ч. для противодействия восстановлению, и т.п.
Все это позволит снизить риски повторных инцидентов, извлечь уроки из атаки и провести работу над ошибками.
Постепенно развивайте системы кибербезопасности. По опыту специалистов F6, на создание системы кибербезопасности уходят годы. За короткий период времени можно внедрить средство защиты информации или реализовать процесс, но для повышения уровня надежности системы кибербезопасности важно постепенное развитие системы. Это позволит адаптироваться к быстро меняющимся угрозам и технологиям, минимизируя риски и уязвимости. Такой подход обеспечит возможность поэтапного внедрения новых инструментов и технологий, что позволяет тестировать их эффективность и интеграцию в существующую инфраструктуру без значительных сбоев в работе.
Готовьтесь к обнаружению и реагированию на инциденты заранее. Один из самых негативных сценариев, который может произойти с компанией – это вспомнить про необходимость выстраивать процессы логирования и реагирования на инциденты в момент, когда компания узнала о своем инциденте от третьих лиц. Отсутствие процесса логирования может привести к ситуации, когда даже внешние эксперты будут бессильны и не смогут помочь компании исследовать инцидент, а также уведомить Роскомнадзор об утечке персональных данных. Существующие требования по уведомлению Роскомнадзора в течение 24 и 72 часов накладывают на бизнес крайне высокие требования к зрелости процесса реагирования на инциденты. Процесс должен обеспечивать систематический подход к выявлению, анализу и устранению угроз. Эффективное реагирование позволяет быстро локализовать инциденты, минимизируя, как ущерб для бизнеса, так и риски административных санкций. Наличие четко прописанных процедур и команд реагирования способствует улучшению координации действий между различными подразделениями организации, что повышает общую готовность к киберугрозам. Анализ инцидентов после их разрешения помогает выявить уязвимости и недостатки в существующих системах безопасности, что позволяет внедрять улучшения и адаптироваться к новым угрозам, тем самым снижая вероятность повторного возникновения подобных ситуаций в будущем, избегая ситуации «оставаться на крючке злоумышленников».
Запустите процесс управления уязвимостями. Это позволит организациям систематически выявлять, оценивать и устранять потенциальные слабости в своих системах и приложениях. В целях, как предотвратить инцидент ИБ, так и избежать его повторения. Регулярное сканирование на наличие уязвимостей и их приоритизация помогает предотвратить эксплуатацию этих слабостей злоумышленниками, снижая риск утечек данных и других кибератак. Кроме того, управление уязвимостями способствует соблюдению нормативных требований и стандартов безопасности, что важно для поддержания доверия клиентов и партнеров. Наконец, организации смогут не только защищать свои активы, но и проактивно адаптироваться к меняющимся угрозам в киберпространстве.
Обучение сотрудников. Особое внимание необходимо уделить процессу обучения сотрудников как ИБ-отделов, так и других. Люди часто становятся самой уязвимой частью системы защиты. Даже если внедрить целый комплекс средств защиты информации, их эффективность будет низкой, если сотрудники не соблюдают правила информационной безопасности. Осведомленность о потенциальных угрозах, таких как фишинг, вредоносное ПО и социальная инженерия, помогает сотрудникам распознавать опасные ситуации и принимать меры для их предотвращения. Регулярные тренинги и семинары формируют культуру безопасности в организации, способствуя более ответственному поведению сотрудников в отношении обработки конфиденциальной информации и использования корпоративных ресурсов. Также необходимо разрабатывать документированные регламенты, которые будут разъяснять сотрудникам, как именно обращаться с информацией. Необходимо помнить, что в рамках правового поля, связанного с обработкой и защитой персональных данных, даже случайная передача персональных данных – является инцидентом и требует уведомление надзорного органа. Случайная передача персональных данных является следствием низкого уровня культуры и/или осведомленности в вопросах корректного распоряжения с информацией. Инвестирование в обучение не только защищает активы компании, но и создает более безопасную рабочую среду, где каждый сотрудник становится активным участником в борьбе с киберугрозами.
Часто обнаруживаем, что заказчики в рамках создания и развития системы информационной безопасности делают фокус на превентивных мерах защиты, уменьшающих вероятность возникновения утечки персональных данных. При этом отсутствуют или слабо выстроены процессы, направленные на минимизацию ущерба в момент инцидента ИБ, а также после него.
Роман Сюбаев
Руководитель отдела оценки соответствия и консалтинга
Заключение
Нельзя быть уверенным, что завтрашний день не начнется с кибератаки на вашу компанию. Однако каждый бизнес имеет возможность выбрать, каким образом встретить ее: с ощущением чувства катастрофы и пониманием, что необходимое время упущено, либо достойно противостоять кибератаке всего лишь отложив утренний кофе на попозже. В свою очередь, эксперты F6 всегда готовы помочь в избежание ключевых ошибок при подготовке к инциденту, а если он произошел — оперативно провести комплекс мер по реагированию и расследованию инцидента.