Утечки данных 2022: статистика, штрафы и меры по снижению рисков

По данным «Лаборатории Касперского» за 2022 год в открытый доступ поступило более 2 миллиардов записей, содержащих персональные данные и другую конфиденциальную информацию, из которой 16% информации состояли из утекших паролей пользователей. Было зафиксировано, что 64% данных были скомпрометированы с помощью атак на крупный бизнес. Если говорить по сферам деятельности, то наибольшим объёмом учета утекших данных в Российской федерации, по итогам 2022 года, стали различные ритейлеры – 14%, и сервисы доставки – 34%. Стоит отметить, что в скомпрометированной информации находятся данные как сотрудников организации, так и её клиентов.

По прогнозам «Лаборатории Касперского» следует ожидать повышение количества утечек информации на 20%. Компания обращает особое внимание на сферу ритейла, как самую притягательную со стороны злоумышленника

По данным Роскомнадзора, в течение 2022 года было зафиксировано около 150 крупных утечек информации, из которых только 16% были из-за действий злоумышленников. 

По данным организации «Group-IB» объём утечек информации в 2022 году превысил показатели 2021 года в 40 раз. Эксперты компании объясняют такой невероятный рост специальной военной операцией, а точнее развернувшийся кибервойной, направленной против России. Как и «Лаборатория Касперского» компания «Group-IB» выделяет ритейлеров, как привлекательную цель для хакеров и злоумышленников.

Почему быстрая и правильная реакция на утечки информации очень важна

Данный вопрос следует рассматривать с двух точек зрения: организации, у которой произошла компрометация защищаемой информации, и субъекта персональных данных, ПДн которого были предоставлены в открытом доступе. Рассмотрим две точки зрения.

Если говорить про организацию, то кроме репутационных рисков и потери некоторой прибыли в будущем из-за отказа клиентов от дальнейшего сотрудничества, при попытке скрыть утечку на неё будет возложен штраф за недобросовестную обработку персональных данных. Если будет доказано, что утекшая информация была использована для нанесения непосредственного вреда субъекта персональных данных, то организация будет обязана выплатить компенсация, сумму которой устанавливает суд.

Если говорить с точки зрения субъекта персональных данных, то разглашение может привести к временным, репутационным, экономическим или иным видам риска.

Из выше изложенного, можно сделать вывод, что основные потери за разглашение конфиденциальной информации несёт организация, а не субъект персональных данных.

Государственные документы и штрафы в отношении обработки и разглашении персональных данных

За 2022 год было скомпрометировано огромное количество информации, но это число могло быть в разы меньше, если каждая организация добросовестно соблюдала законодательство Российской Федерации в области обработки персональных данных и конфиденциальной информации. В связи с данной ситуацией, государство провело ряд правок в существующие документы и разработала другие подзаконные акты в данной сфере. К таким документам относятся следующее:

• Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ;
• Приказ ФСБ от 13.02.2023 №77 «Об утверждении порядка взаимодействия операторов государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных».
• Приказ Роскомнадзора от 28.10.2022 №180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».
• Приказ Роскомнадзора от 14.11.2022 №187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках введения учёта инцидентов в области персональных данных».

Следует отметить, что столь малое желание сотрудников организаций соблюдать все правила в области обработки конфиденциальной информации связан с непониманием как самих требований государства, так и последствий, которые могу повлечь за собой их не выполнение. Сами организации, особенно крупные компании, не достаточно чётко и корректно доносят информацию до ответственных за обработку персональных данных из-за не достаточной существенности штрафов за разглашение ПДн. В связи с сложившиеся ситуацией на законодательном уровне рассматривается вопрос введения «оборотных» штрафов за утечку персональных данных.

Все штрафы представлены в Таблице 1.

Статья	Содержание статьи КоАП	Сумма штрафа, тыс.руб
		Физ. Лицо	Должн.Лицо	ИП	Юр. Лицо
13.11 ч.1	Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния	2-6	10-20	—	60-100
13.11 ч.1.1	Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи	4-12	20-50	50-100	100-300
13.11 ч.2	Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных	6-10	20-40	—	30-150
13.11 ч.2.1	Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи	10-20	40-100	100-300	300-500
13.11 ч.3	Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных	1,5-3	6-12	10-20	30-60
13.11 ч.4	Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных	2-4	8-12	20-30	40-80
13.11 ч.5	Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки	2-4	8-20	20-40	50-90
13.11 ч.5.1	Повторное совершение административного правонарушения, предусмотренного частью 5 настоящей статьи	12-30	30-50	50-100	300-500
13.11 ч.6	Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния	1,5-4	8-20	20-40	50-100
13.11 ч.7	Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных	—	6-12	—	—
13.11 ч.8	Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ	30-50	100-200	—	1-6 млн
13.11 ч.9	Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи	50-100	500-800	—	6-18 млн

Таблица 1

В отличии от персональных данных, за разглашение иной конфиденциальной информации государство вводит более серьёзные меры наказания для виновного лица вплоть до уголовной ответственности. Из-за того, что разглашение конфиденциальной информации не относящийся к ПДн, например ноу-хау, может привести к серьёзным последствиям вплоть до полного банкротства и последующего закрытия организации, государство не возлагает меры наказания на саму организацию, а только на повлекшее к этому лицо. Если говорить про УК РФ, то для внешнего нарушителя в первую очередь будет рассматриваться статья 272 «Неправомерный доступ к компьютерной информации», а для внутреннего пользователя статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».

Государственные документы и требования для объектов критической информационной инфраструктуры

Для обеспечения информационной безопасности критической информационной инфраструктуры (КИИ) государством был разработан целый ряд документов, представленных ниже: 

• Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 №187-ФЗ;
• Приказ ФСБ России от 24.07.2018 №367 «Об утверждении Перечня информации, предоставляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка предоставления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
• Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской федерации».

Из вышеуказанных документов следует отметить, что все критические информационные инфраструктуры должны быть подключены к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) для создания обмена информации о кибератаках на информационные системы, нарушение или прекращение работы которых крайне негативно скажется на экономике страны или безопасности граждан. Следует отметить, что данные об инцидентах в значимых объектах КИИ передаются в ГосСОПКУ автоматически.

Какие действия требуется предпринять, если была обнаружена утечка информации

Если в организации произошла утечка информации, то в соответствии с Федеральному закону «О персональных данных» от 27.07.2006 №152-ФЗ, Приказом Роскомнадзора от 14.11.2022 №187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках введения учёта инцидентов в области персональных данных» и Приказом ФСБ России от 13.02.2023 №77 «Об утверждении порядка взаимодействия операторов государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, компания должна сообщить в Роскомнадзор и НКЦКИ о прошедшем инциденте в течение 24 часов, а о результатах внутреннего расследования данного инцидента в течение 72 часов с момента компрометации. Организации не следует создавать заявку в Роскомнадзор и НКЦКИ одновременно. Достаточно передать информацию Роскомнадзору, откуда она попадет в НКЦКИ.

В первичном уведомлении, в котором передается информация об прошедшем инциденте, следует указывать следующие сведения:

• о произошедшем инциденте (дата и время его выявления, характеристики персональных данных, которые стали доступны третьим лицам, количество записей в базе данных, которая была скомпрометирована). Дополнительно можно сообщить об актуальности этой базы данных, а также о периоде, в течение которого были собраны персональные данные;
• о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных;
• о предполагаемом вреде, нанесённом правам субъектов персональных данных;
• о принятых мерах по устранению последствий инцидента;
• о лице, уполномоченном оператором персональных данных на взаимодействие с Роскомнадзором;
• иные сведения и материалы, в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии таких сведений).

Отправитель уведомления также должен указать следующие данные:

• Ф.И.О. оператора, составившего уведомление;
• полное и краткое наименование организации;
• адрес регистрации по месту жительства оператора;
• адрес организации в пределах его места нахождения;
• адрес электронной почты (при наличии) для направления информации (рекомендуется указывать этот адрес, поскольку в дальнейшем Роскомнадзор может направлять на него важную информацию).

В дополнительном уведомлении, которое направляется в течении 72 часов, должны указываться следующие сведения:

• о результатах внутреннего расследования выявленного инцидента (о причинах, повлекших нарушение прав субъектов персональных данных и нанесенном им вреде, о дополнительно принятых мерах по устранению последствий инцидента (при наличии), а также о решении оператора о проведении внутреннего расследования с указанием его реквизитов);
• о лицах, действия которых стали причиной инцидента (Ф. И. О. физического лица или ИП, наименование юридического лица, IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и устройств, иные сведения).

Если организация затрудняется в принятии мер по устранению инцидента, то существует возможность обращения в НКЦКИ с данной проблемой. В таком случае, НКЦКИ обязуется предоставить вариант решения, по устранению последующих подобных инцидентов.

Получив первичное уведомление оператора, Роскомнадзор направляет на указанный в уведомлении адрес электронной почты информационное письмо, в котором называет дату и время передачи уведомления, а также его ключ и номер. Номер и ключ первичного уведомления нужно указать при подаче дополнительного уведомления.

Если в представленном уведомлении Роскомнадзор обнаружит неполные или некорректные сведения, в течение трёх рабочих дней он направит по адресу электронной почты из первичного уведомления запрос о предоставлении недостающих сведений или пояснений. Предоставить такие сведения или пояснения нужно в течение трёх рабочих дней со дня получения запроса от Роскомнадзора.

Если оператор не предоставил дополнительное уведомление в установленные сроки, Роскомнадзор вправе потребовать сведения о результатах внутреннего расследования выявленного инцидента. Ответ на такое требование нужно представить в течение одного рабочего дня со дня его получения.

В случае если Роскомнадзор самостоятельно выявит факт утечки базы персональных данных, содержание которой указывает на её принадлежность к конкретному оператору, такому оператору направляется требование о необходимости предоставить первичное или дополнительные уведомления. Предоставить их нужно в обычные сроки (24 часа для первичного уведомления, 72 часа – для дополнительного).

Если оператор, получив требование Роскомнадзора, выяснит, что скомпрометированная база персональных данных ему не принадлежит, он направляет в Роскомнадзор дополнительное уведомление, к которому прикладывает акт о проведенном внутреннем расследовании, подтверждающий отсутствие факта неправомерной передачи или распространения персональных данных.

Если оператор выяснит, что сведения об утечке базы данных ранее уже направлялись в Роскомнадзор, он направляет в ведомство уведомление, в котором указывает дату и номер ранее направленного уведомления.

Как не допустить компрометацию данных организации

Как видно из статистики 2022 года, всего в 16% случаев установленных утечек по мнению Роскомнадзора в России виноваты злоумышленники. В остальных 84% – владельцы информации и её операторы. По данной причине, для предотвращения утечек информации, в первую очередь следует обратить внимание на обучение операторов конфиденциальной информации. Организация должна грамотно донести до своих сотрудников всю важность соблюдения правил при работе с защищаемой информацией, а также своевременно дополнять и освежать вышесказанную информацию. После каждого инструктажа, сотрудник обязан поставить роспись о том, что он ознакомлен с информацией. Обучение персонала не требует организации больших вложений, но принесет существенную пользу, при качественном её выполнении.

Следующим по важности критерием является построение комплексной системы защиты информации. Данный вариант позволит организации защитить конфиденциальную информацию от несанкционированного воздействия на неё как снаружи организации, так и изнутри.

Для обеспечения актуального состояние защиты информации следует своевременно проводить аудит информационных систем организации. Данный шаг позволит вовремя отреагировать на появившиеся уязвимости. Во время аудита крайне полезным станет сканер уязвимостей, сильно упрощающий проведение самого мероприятия.

Если говорить про объекты КИИ, кроме вышеизложенных рекомендаций, настоятельно призывают подключить систему либо к ведомственному центру мониторинга, либо к коммерческому центру мониторинга. Аналитики центра осуществляют круглосуточный мониторинг сети и стремительно реагируют на любые подозрительные и потенциальные инциденты информационной безопасности