Законопроект об оборотных штрафах за утечки планируют принять до конца года. Компаниям не стоит медлить с усилением контура информационной безопасности, скоро за пробелы, приводящие к киберинцидентам, придется нести серьезную ответственность.
Законопроект, которым предлагается ввести оборотные штрафы для бизнеса за утечки персональных данных пользователей, примут до конца года. Об этом сообщил заместитель председателя комитета Госдумы по информполитике Андрей Свинцов в ходе пленарного заседания конференции по информбезопасности BIS Summit 2024.
Срок вступления в силу закона может быть отложен в зависимости от готовности бизнеса к регулированию. По его словам, есть риск, что компании, работающие с персональными данными, «начнут нести большие финансовые потери, что отразится на стоимости их продуктов и услуг, и нагрузка ляжет на потребителя».
За первое полугодие 2024 года в России было скомпрометировано 986 млн строк персональных данных – это на 33,8% больше, чем за аналогичный период прошлого года, сообщается в отчете компании InfoWatch, его данные приводят «Ведомости». При этом увеличилось количество зарегистрированных инцидентов: с начала года специалисты выявили 415 случаев утечек персданных, что на 10,1% больше, чем за аналогичный период 2023 года, когда было выявлено 377 подобных случаев.
Расплата за халатность
Многие компании по-прежнему пренебрегают мерами кибербезопасности, необходимыми при работе с персональными данными. «Виной этому, отчасти, маленькие штрафы, которые действуют сейчас – для компаний с огромным оборотом средств бывает проще расплатиться за свою халатность в части информационной безопасности, чем исправить пробелы в ней. После принятия законопроектов за ошибки придется нести серьезную ответственность и платить немалые штрафы. Хочется верить, что это станет стимулом для недобросовестных компаний наконец начать уважительнее относиться к той информации, которую им доверяют пользователи», – отметил член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.
Законопроект будет доработан, диалог с бизнес-сообществом на эту тему продолжается.
«Интересы граждан должны быть превыше всего. Надеюсь, компании это тоже понимают: у нас нет цели им навредить, но халатно относиться к обработке и хранению конфиденциальной информации граждан сегодня не может позволить себе совершенно никто. Время на то, чтобы усилиться в части информационной безопасности, или как минимум провести аудит и выявить все существующие проблемы для их дальнейшего устранения, у них есть – подготовка и обсуждение законопроекта идут уже довольно давно. Отмечу – инвестировать в информационную безопасность скоро станет намного дешевле, чем расплачиваться за пробелы в ней», – добавил депутат.
База для мошенников
Украденные персональные данные – база, на которой строят свою преступную деятельность телефонные мошенники. На начало 2024 года граждане получали по 20 млн мошеннических звонков в сутки. Сейчас это количество удалось снизить до 6 млн, но сами схемы обмана становятся всё более изощрёнными.
«Когда данные попадают в руки киберпреступников, они могут использовать их для создания фальшивых аккаунтов, подачи поддельных заявок на кредиты или оформления услуг на имя пострадавших. Персональные данные, такие как номера паспортов, кредитных карт, социальные идентификаторы и пароли, особенно ценны на чёрном рынке, так как с их помощью можно обманом получать финансовые или другие выгоды. Кроме того, утечки данных могут привести к так называемому «целевому мошенничеству», когда преступники используют полученные данные для точного таргетинга жертв. Например, они могут создать убедительные сценарии мошенничества, основанные на знаниях о работе человека, его финансовом положении или других личных аспектах жизни. Это делает атаки более успешными, поскольку жертвы чаще попадаются на обман, когда атака кажется персонализированной и достоверной», – добавил Немкин.
Компании, обрабатывающие личную информацию, должны внедрять строгие меры кибербезопасности: шифрование данных, многофакторную аутентификацию, регулярные обновления программного обеспечения и проведение аудитов безопасности. Также важно, чтобы организации обучали сотрудников основам информационной безопасности.