Ответственность за несанкционированный доступ к персональным данным в 2025 году

09/04/25

Б-152

Ответственность за несанкционированный доступ к персональным данным в 2025 году

Исследования, проведенные в 2024 году в России компанией InfoWatch, показали, что утечка информации возросла на 30% по сравнению с предыдущим годом. Важно понимать, что каждая крупица утекших личных сведений ― это результат несанкционированного доступа злоумышленников к информации, а также возможных нарушений правила хранения персональных данных Операторами.

Разберемся, что такое несанкционированный доступ к персональным данным, каковы его причины и последствия, а также какая ответственность за это правонарушение грозит Операторам ПДн, нарушившим правила хранения персональных данных.

Несанкционированный доступ (НСД) к персональным данным ― это любые действия, которые направлены на получение или использование личной информации без разрешения владельца. То есть НСД представляет собой нарушение норм информационной безопасности ― как случайное, так и намеренное, когда злоумышленники получают доступ к ПДн в обход защитных мер.

При случайном нарушении данные оказываются у третьих лиц, которые не имеют права получать к ним доступ.

Пример: документы с данными сотрудника, оставленные на столе. Если их случайно увидят посторонние ― это также будет случаем НСД.

Причины нарушения правил хранения персональных данных, за которые может грозить ответственность, различаются. Можно выделить:

• Человеческий фактор: ошибки работников, слабая дисциплина в компании или недостаточные знания о соблюдении требований безопасности. Возможно, в информационной системе используются ненадежные пароли. Сюда же можно включить недобросовестные действия сотрудников.
• К сожалению, утечка данных может возникнуть по вине работника, который хочет навредить организации или получить личную выгоду.
• Технические уязвимости: устаревшие информационные системы, ошибки ПО, отсутствие периодических обновлений софта. Это буквально «входные двери» для злоумышленников.
• Отсутствие систем безопасности. Чтобы не получить штраф за утечку персональных данных, важно использовать различные защитные механизмы. Например, антивирусы, межсетевые экраны. В противном случае, информация может стать доступна третьим лицам. Кроме того, в организации необходимо разработать политику корпоративной безопасности. Если компания не подготавливает хотя бы базовые правила ― может возникнуть ситуация, что новый сотрудник в целях личной выгоды легко получит доступ к папке с договорами с контрагентами.
• Целенаправленные атаки. Это относится к хакерским атакам, а также нападкам со стороны конкурентов. И те, и другие, могут взломать информационные системы, например, в целях промышленного шпионажа. Не забывайте, что даже в таком случае ответственность за хранение персональных данных будет возложена на вас.

Третьи лица могут получить доступ к информации разными способами. Например, путем проникновения в офисные здания, за счет технических атак на информационные системы или через взаимодействие с персоналом:

• Физический доступ ― это когда злоумышленник проникает в помещение, где хранятся носители данных, например, серверы, накопители или документы. Получить такой доступ несложно, если должный контроль отсутствует или постороннее лицо использует чужие идентификаторы, чтобы зайти в помещение. Нужно учитывать, что злоумышленник может не только забрать данные вместе с носителем, но и снять копии или скачать информацию ― тогда заметить факт доступа будет сложно.
• Технический доступ. Для получения доступа к ПДн используют хакерские инструменты и вредоносное ПО, например трояны и вирусы, утилиты, подбирающие пароли, оборудование для перехвата сведений и так далее.
• Доступ через инсайдеров. Инсайдерами называют сотрудников, которые работают в организации и у которых есть доступ к конфиденциальным данным. К сожалению, ситуации, когда сотрудник похищает сведения за вознаграждение, нередки. Он это делает либо в целях личной выгоды, либо чтобы отомстить работодателю. Но также человека могут использовать втемную. Например, выманить сведения с помощью методов социальной инженерии. Кроме того, источником информации для злоумышленников могут стать бывшие работники, которые когда-то были в курсе внутренних процессов организации. В данном случае речь идет о ситуациях, когда увольнение прошло не гладко и человек хочет «насолить» работодателю.

Негативные последствия утечки данных очевидны. Насколько они будут масштабны ― зависит от от того, какая информация и в каком объеме утеряна. Оператор в качестве работодателя или контрагента может столкнуться со следующими проблемами:

• Утечка конфиденциальных данных клиентов. Конкуренты могут использовать такую информацию в конкурентной борьбе и перетянуть клиентскую базу на свою сторону.
• Юридическая ответственность, включая штраф за утечку персональных данных. Утечка информации неминуемо привлечет внимание правоохранительных органов и Роскомнадзора. Факт того, что сохранность персональных данных не была обеспечена, приведет к ответственности, так как компания не соблюдает требования законодательства. Также судебные иски могут поступить от пострадавших клиентов, контрагентов или работников, личные сведения которых были скомпрометированы.
• Риски для репутации. Скрыть, что данные были «слиты», практически невозможно. Особенно, если утечка была масштабной. В этом случае информация о проблеме может попасть в средства массовой информации или специализированные телеграмм-каналы. В результате этого клиенты и партнеры потеряют доверие к компании.
• Финансовые потери. Самое очевидное ― это потеря прибыли. Собственно, к ней приводят все последствия, описанные выше. Также расходы потребуются на штраф за утечку персональных данных, на восстановление информации, если это возможно, а также на усовершенствование системы защиты, чтобы подобные ситуации не возникали в дальнейшем.

На самом деле конфиденциальная информация, в состав которой также входят ПДн, является весьма ценным ресурсом. Злоумышленники, конкуренты или вообще любые лица, которые получили доступ к данным, могут использовать их в разных целях, например:

• Для продажи на черном рынке. Личные сведения, пароли, финансовая информация ― ценный товар. Его продают либо по заказу определенных лиц, либо на даркнете.
• Чтобы получить выкуп непосредственно от Оператора ПДн. Если компания не выкупает информацию ― ее сливают бесплатно или перепродают.
• Для получения конкурентных преимуществ.
• Для финансовых махинаций, в том числе подделки документов, вывода активов.

Существуют определенные виды ответственности за нарушения сохранности персональных данных. Так, если незаконно была передана информация о людях в количестве 1-10 тысяч человек, с 30 мая 2025 возможны следующие штрафы:

• должностные лица ― 200-400 тысяч рублей;
• ИП и юрлица ― 3-5 миллионов рублей.

Неправомерное распространение ПДн специальных категорий, а также действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных, могут привести к следующим штрафам:

• для должностных лиц ― 1-1,3 миллиона рублей;
• ИП и юридические лица ― 10-15 миллионов рублей.

Кроме того, в связи с ужесточением требований по обработке и хранению персональных данных введена уголовная ответственность.

Уголовная ответственность за сбор, хранение и передачу персональных данных, полученных путем неправомерного доступа к средствам обработки информации, хранения или иного вмешательства в их функционирование либо иным незаконным путем ― это лишение свободы на срок до четырех лет. Но также возможны принудительные работы на аналогичный срок или штраф в размере 300-400 тысяч рублей. Если же нарушения касаются личных сведений о несовершеннолетних или биометрических данных ― нарушитель получит штраф до 700 тысяч рублей или уголовный срок ― 5 лет лишения свободы.

Наибольшее наказание грозит российским компаниям, которые несанкционированно передают персональные данные россиян другим государствам. В этом случае возможен штраф в 2 миллиона рублей или лишение свободы на срок до 8 лет. Если нарушители ― группа лиц, и действия привели к тяжким последствиям, уголовный срок может увеличиться до 10 лет.

Кроме того, уголовная ответственность действует и на создание информационных ресурсов для хранения и распространения информации, полученной незаконно. Это касается сервисов, где выложены слитые фото документов или украденные базы данных. В таком случае предусмотрено лишение свободы на срок до 5 лет.

Защитить данные от несанкционированного доступа можно.

Какие меры можно предпринять:

• Идентификация и аутентификация пользователей. Доступ к данным следует открывать только авторизованным пользователям. То есть следует установить двухфакторную аутентификацию на сайте для защиты ПДн клиентов.
• Предлагайте пользователям, которые регистрируются на сайте, установить сложный пароль (не менее 12 символов), причем периодически напоминайте о необходимости его изменения.
• Установите в компании строгий контроль за доступом, а также перемещением документов в бумажном формате. Храните их в сейфах либо в шкафах под надежными замками.
• Если бумаги не нужны ― утилизируйте их через шредер.
• Оформите внутреннюю документацию для защиты организации от НСД административными методами. Особенно важно оформить соглашение о неразглашении информации (NDA), политику конфиденциальности, регламенты доступов к данным в процессе онбординга и работы, а также документ, который будет регулировать поведение сотрудников при увольнении
• Защитите данные на компьютере. В целях защиты данных на ПК можно также использовать разные методы. Как минимум, на каждом компьютере организации следует установить надежный лицензионный антивирус с актуальной базой.

В целом, методы защиты информации делятся на технические, организационные и правовые. Наиболее действенными методами в обеспечении информационной безопасности являются следующие:

• Использование антивирусного ПО и межсетевых экранов. Обеспечивает защиту периметра сети и хостов, является основным препятствием при развитии атаки. Важна грамотная настройка и эксплуатация. Естественно, важна не стоимость средства защиты или его формальное наличие, а качество его настройки.
• Обновление операционных систем и ПО: большинство утечек связано с эксплуатацией уязвимостей в устаревших обновлениях системного и прикладного ПО.
• Шифрование данных: использование криптографических алгоритмов шифрования данных остается одной из наиболее эффективных мер обеспечения конфиденциальности данных.
• Регулярное обучение персонала: ни одна система безопасности не защищена от человеческой ошибки, поэтому обучение сотрудников является критически важным элементом. Регулярное обучение и осведомление персонала о методах социальной инженерии помогают им быстрее распознавать потенциальные атаки и быть более бдительными.
• Многофакторная аутентификация (MFA) обеспечивает дополнительный уровень безопасности, делая взлом учетных записей гораздо сложнее. Рекомендуется использовать MFA для всех учетных записей, что сделает кражу учетных данных гораздо сложнее.
• Системы мониторинга и реагирования: автоматизированные системы, способные обнаруживать аномальную активность и немедленно реагировать, играют критическую роль в обнаружении и предотвращении инцидентов. Они реагируют на потенциальные инциденты в режиме реального времени, что способствует лучшей защищенности системы.
• Политики безопасности и доступа: необходимо разработать и строго соблюдать политики доступа к данным и системам, минимизируя доступ сотрудников к информации, которая не связана с их непосредственной работой.
• Тестирование на проникновение: регулярные тестирования позволяют выявлять слабые места в системах безопасности и устранять их до того, как их обнаружат злоумышленники.

Таким образом, подойти к вопросу защиты ПДн нужно комплексно, используя технические, организационные, а также административные меры.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме