В Госдуму внесли законопроекты (№ 502104-8, 502113-8), по которым планируют ужесточить наказание за утечки персональных данных. Это финальная версия документов. Один из них вносит поправки в КоАП и предусматривает оборотный штраф до 3% годовой выручки за повторное нарушение. Второй — устанавливает уголовную ответственность за утечки.
Какими для компаний будут оборотные штрафы за утечку персональных данных?
По новому законопроекту об оборотных штрафах наказание будет зависеть от количества утерянных данных:
- если утечка коснется от 1 тыс. до 10 тыс. субъектов ПДн, штраф для юридических лиц составит от 3 млн до 5 млн руб.
- при утечке от 10 тыс. до 100 тыс. субъектов ПДн, придется заплатить от 5 млн до 10 млн руб.
- если будет превышен порог в 100 тыс. субъектов ПДн, выпишут штраф от 10 млн до 15 млн руб.
При этом юрлица и индивидуальные предприниматели приравнены к компаниям.
За повторную утечку от 1 тыс. субъектов ПДн, предлагается ввести оборотный штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года. Но минимум 15 млн рублей и максимум — 500 млн рублей.
За утечку специальной категории персональных данных (например, медицинской информации), штраф для юридических лиц составит от 10 млн до 15 млн руб. Кроме этого, за такое нарушение предусмотрены повышенные штрафы для физических лиц и сотрудников государственных или муниципальных организаций.
Для физических лиц размер штрафа может составлять до 800 тыс рублей.
Какое уголовное наказание предусмотрено?
Законопроект вводит изменения и в Уголовный кодекс.
- Уголовная ответственность предусмотрена для тех, кто незаконно собирает, хранит, использует и (или) передает компьютерную информацию с персональными данными. Ответственность усилится, если преступление совершено группой лиц по предварительному сговору; если оно причинило крупный ущерб; если совершалось в целях обогащения или с использованием служебного положения и «шпионских устройств».
- За незаконное использование, передачу или сбор персональных данных, полученных неправомерным путем, предусмотрен штраф до 300 тыс. руб. или принудительные работы/лишение свободы до четырех лет. До пяти лет — если информация содержит специальные категории персональных данных и (или) биометрические персональные данные.
- До шести лет лишения свободы и штраф до 1 млн руб. предлагается ввести за незаконное использование персональных данных из корыстной заинтересованности, повлекшее крупный ущерб, совершенное группой лиц по предварительному сговору или с использованием служебного положения
- Преступления, связанные с трансграничной передачей персональных данных, намерены наказывать лишением свободы до восьми лет и штрафом до 2 млн руб. Или до десяти лет и 3 млн руб. — если были тяжкие последствия или преступление совершено организованной группой.
- За создание ресурсов в интернете или компьютерных программ, предназначенных для незаконного хранения, распространения персональных данных, предлагается наказывать принудительными работами/лишением свободы до пяти лет и штрафом до 700 тыс. руб.
Почему ужесточают наказание за утечку данных
Пока для юридических лиц, которые допустили утечку персональных данных, максимальный штраф составляет 100 тыс. рублей и 300 тыс. рублей — при повторной утечке. По мнению авторов законопроекта, такие скромные наказания несоразмерны с возможными последствиями от инцидентов.
«Усовершенствование законодательства кардинально изменит ситуацию с утечками персданных. Серьезные сроки лишения свободы отпугнут многих. А бизнесу станет дешевле вложиться в цифровую безопасность, чем платить штрафы», — цитирует Forbes автора инициативы, сенатора Андрея Турчака.
По его словам, в 2022 году ущерб от утечек персональных данных достиг 8 млрд рублей. Основная причина в том, что на черном рынке происходит «круговорот» 20 тыс. баз с персональными данными 80% населения России.
Как снизить риск утечек персональных данных и другой конфиденциальной информации?
Зачастую крупные утечки в 2023 году происходят по вине инсайдеров, на что приходится до 80% всех инцидентов, согласно аналитическим отчетам экспертов.
Снизить риск инцидентов и избежать оборотных штрафов за утечку персональных данных помогают DLP-системы. Такие решения берут под контроль всю чувствительную информацию, мониторят каналы утечки данных, распознают опасные действия сотрудников и мгновенно уведомляют Службу безопасности о возможных рисках.
Масштабные инциденты с утечкой данных редко происходят единовременно и внезапно. На подготовку к внутренней диверсии у пользователей может уходить от нескольких дней — до нескольких месяцев или даже лет. В процессе подготовки нарушители оставляют следы, заметные системам мониторинга при анализе отклонений поведения пользователей.
Одно из таких решений — «Стахановец». Эта система защиты данных позволяет не только предотвратить утечки, но и составляет рейтинг потенциально опасных сотрудников, что помогает заранее выявить неблагонадежный персонал.
Подробнее о функционале:
Рейтинг потенциально опасных сотрудников
«Стахановец» анализирует поведение персонала и рассчитывает, какую потенциальную опасность для работодателя представляют действия каждого специалиста.
Уровень риска рассчитывается по двум критериям:
- сколько времени работник проводит на сайтах и приложениях, которые относятся к группе риска
- как часто специалист использует слова, внесенные в группу риска.
Рейтинг каждого сотрудника система определяет по шкале от нуля до десяти, где «десять» означает максимальный уровень риска.
Эта функция входит в отчет «Анализатор рисков». В его основе лежит интеллектуальная система, которая мониторит действия персонала и выявляет «опасные». Система отслеживает активность, создает карточку по каждому специалисту и уведомляет об инцидентах.
Расчет персональных рисков сотрудников доступен в «Стахановец 10»
Интеллектуальная система «Аналитика»
Анализирует более 40-параметров и поведенческих активностей пользователей, оценивая по каждой из них отклонения от нормы в разрезе по компании, филиалам, подразделениям или сотрудникам.
Для выявления потенциальных нарушителей производится сравнение активности по таким параметрам как: «Высокоприоритетные события», «Низкоприоритетные события», мониторинг буфера обмена, оценка отправляемых файлов, сообщений в мессенджерах и другим метрикам.
Маркировка документов для предотвращения утечек
На важные и конфиденциальные документы можно поставить скрытые метки. Программа их распознает и не допускает отправку файлов по интернету или копирование на съемный носитель. Метки сохраняются даже если документ отредактировать, пересохранить или скопировать часть данных в другое место.
«Стахановец» контролирует и документы, на которые не проставлены метки. Система отслеживает все операции с файлами — копирование, отправка, удаление и печать.
Мгновенные уведомления об инциденте
Система отправляет руководителю или сотруднику Службы безопасности мгновенные уведомления о подозрительном событии. Их можно настроить в БОСС-Онлайн: SMS, E-mail и Telegram. При этом, уведомления в Telegram дополнены снимками экрана. Это позволяет сотруднику Службы безопасности быстро оценить риски и предпринять действия.
Блокировка клавиатуры и мыши сотрудника
При получении уведомления о подозрительном событии, сотрудник Службы безопасности может мгновенно заблокировать клавиатуру и мышь сотрудника через БОСС-Онлайн до выяснения обстоятельств и расследования инцидента.
Мониторинг мессенджеров и почты
С целью предотвращения утечек персональных данных и корпоративной информации комплекс перехватывает текстовые и голосовые сообщения, а также — файлы.
Система мониторит Telegram и WhatsApp в десктоп и веб-версиях, Skype, Microsoft Teams, Lync, Viber, Bitrix, Slack, Myteam, Cisco Webex Teams, eXpress, VK Teams и ICQ.
Также перехватывает входящие и исходящие письма (с вложениями) в Microsoft Outlook, IBM Lotus Notes, Outlook Express, Thunderbird, Bat, Mail.
При фиксации подозрительных действий со стороны сотрудников, комплекс в реальном времени уведомляет службу безопасности.
Комплекс перехватывает текстовые и голосовые сообщения, а также — файлы в популярных мессенджерах
Контроль съемных носителей
Чтобы предотвратить копирование ценных данных, можно установить полный запрет на использование флэш-накопителей, фотоаппаратов, смартфонов, жестких дисков, сетевых адаптеров, Wi-Fi и Bluetooth.
При этом, можно создать «белые списки» списки устройств. Для этого необходимо указать в настройках ID разрешенных к использованию USB-флэшек.
«Антифото»
Это инновационное решение «Стахановец», которое анализирует поведение сотрудника и при попытке сфотографировать экран с ценными данными — сворачивает окно, блокирует рабочую станцию и оповещает руководство. Это позволяет компаниям защитить данные от одного из самых популярных способов кражи — фотографирование монитора с ценной информацией.
Распознавание лиц
Система идентифицирует каждого специалиста за рабочим местом. При подмене работника «Стахановец» может заблокировать доступ к ПК и скрыть важную информацию. Кроме этого, функция позволяет ретроспективно установить, кто работал за компьютером в конкретное время и какие операции совершал.
Геолокация
Устанавливает точное местонахождение каждого сотрудника. Система опрашивает внутренние и внешние IP-адреса, что помогает выяснить корректную локацию даже при включенном VPN. Кроме этого, программа сверяет данные с GPS, беспроводных точек доступа и вышек сотовой связи.
Благодаря этому руководители могут в режиме реального времени контролировать местонахождение рабочего устройства и вовремя зафиксировать нарушения.
Система устанавливает точное местонахождение сотрудника даже при включенном VPN
«Краулер»
Поисковый движок позволяет проводить поиск по компьютерам сотрудников и устанавливать, какие информационные активы на них хранятся. Поиск выявляет даже «запароленные» архивы под видом документов.
За счет множества настроек оператор может задать тип и размер файлов, а также — ключевые фразы, которые должны присутствовать в искомых объектах.
Аудио DLP
Система может захватывать аудио с микрофона рабочего компьютера или веб-камеры: звонки и голосовые сообщения в корпоративном мессенджере, а также переговоры специалистов возле монитора.
Нейросеть «Стахановец» в режиме реального времени преобразовывает речь в текст и также реагирует на библиотеку подозрительных слов, как в переписке, что позволяет сотрудникам службы безопасности при уведомлении об инциденте мгновенно получать расшифровку разговора.
Что делать?
Принимать действия необходимо уже сейчас, пока законопроект находится на стадии рассмотрения.
В статье мы рассказали только про часть DLP-опций, которые доступны в «Стахановец». Протестировать все вы можете, установив бесплатную версию комплекса с полным функционалом.
