Штрафы за утечку данных до 500 млн: что важно знать руководству

от

«Декларировать соответствие требованиям 152-ФЗ — не то же самое, что их реально выполнять. Когда приходит штраф на 500 миллионов, эта разница становится материальной.»

Что такое «утечка» для ФСТЭК, Роскомнадзора и суда?

Понятие «утечка» в законодательстве чётко не закреплено. На практике под ним понимается любое неправомерное или случайное распространение персональных данных (ПДн), к которому получили доступ лица, не имеющие на это права. Это может быть кража базы данных хакерами, публикация файла на открытом ресурсе по ошибке сотрудника, отправка информации не тому адресату или компрометация из-за уязвимости в ПО.

Ключевой момент — неважно, привели ли эти действия к реальному причинению вреда субъектам ПДн. Сам факт нарушения режима конфиденциальности уже создает состав правонарушения. Для регулятора утечка, это прежде всего сбой в работе оператора, доказательство того, что принятые меры защиты оказались неэффективными или вовсе отсутствовали.

Расследование часто начинается не с сигнала от регулятора, а с публикации в даркнете, жалобы гражданина или уведомления от CERT-FinCERT. Роскомнадзор и ФСТЭК затем запрашивают объяснения, и от качества этих объяснений зависит, ограничится ли дело предписанием или дойдёт до гигантского штрафа.

Кто и как начисляет штрафы: Роскомнадзор vs ФСТЭК

Система наказаний за утечку строится на двух основных законах: 152-ФЗ «О персональных данных» и КоАП РФ. Ответственность распределена между двумя регуляторами, чьи полномочия частично пересекаются, но фокус разный.

Роскомнадзор: надзор за обработкой

Роскомнадзор следит за соблюдением 152-ФЗ в целом. Его основные рычаги — административные штрафы по статьям 13.11 КоАП РФ. После инцидента он проверяет, были ли выполнены базовые обязанности оператора:

  • Уведомление Роскомнадзора о начале обработки ПДн (или наличие исключений).
  • Получение согласия субъекта на обработку, если оно требуется.
  • Обеспечение конфиденциальности и безопасности данных.
  • Своевременное блокирование или уничтожение данных по требованию субъекта.

Штрафы здесь традиционно были невысокими (до 75 тыс. рублей для юрлиц), но после ужесточения в 2021 году суммы выросли. Например, за обработку без согласия штраф для компании теперь составляет от 60 до 100 тыс. рублей, а за повторное нарушение — до 500 тыс. рублей.

ФСТЭК: контроль защиты информации

ФСТЭК России, это технический регулятор. Он проверяет не юридические основания обработки, а то, как реализованы меры защиты информации (МЗИ) в соответствии с приказами ФСТЭК. Его интересует выполнение требований к системе защиты персональных данных (СЗПДн).

Штрафы ФСТЭК вытекают из нарушения лицензионных требований (если у компании есть лицензия ФСТЭК на деятельность по ТЗКИ) или из общих норм КоАП (ст. 13.12, 13.13, 19.20). Именно здесь появляются многомиллионные суммы. Например, за осуществление деятельности по технической защите конфиденциальной информации без лицензии штраф для юридического лица может составить от 500 тыс. до 1 млн рублей с конфискацией средств. Но главное — за невыполнение предписания об устранении нарушений в установленный срок штраф по части 25 статьи 19.5 КоАП РФ для юрлиц составляет от 500 тысяч до 1 миллиарда рублей. На практике при крупных утечках штрафы исчисляются сотнями миллионов, так как инцидент трактуется как грубое и системное неисполнение требований по защите.

Как сумма штрафа может достичь 500 миллионов?

Астрономическая цифра в полмиллиарда рублей — не абстракция. Она складывается из нескольких факторов, которые регулятор и суд учитывают в совокупности:

  1. Масштаб нарушения. Утечка базы данных с миллионами записей трактуется как массовое и грубое нарушение прав граждан, что является отягчающим обстоятельством.
  2. Категория данных. Компрометация специальных или биометрических ПДн, данных о здоровье, финансовой информации ведёт к более строгой квалификации.
  3. Отсутствие СЗПДн. Если расследование покажет, что у оператора не была сформирована и внедрена модель угроз, не назначен ответственный, не проводились мероприятия по защите, это признаётся полным игнорированием требований.
  4. Невыполнение предписаний. Самый опасный сценарий. После первой проверки и выявления нарушений ФСТЭК выдаёт предписание. Если компания его проигнорировала или выполнила формально, и произошла новая утечка, штраф начисляется по верхней планке как за повторное и злостное нарушение.
  5. Причинённый вред. Хотя вред не обязателен для штрафа, доказанные случаи мошенничества с украденными данными, причинение морального вреда в судебном порядке резко увеличивают размер санкций и вероятность исков от субъектов данных.

Фактически, штраф в 500 млн рублей, это цена за системное пренебрежение регуляторными требованиями, усугублённое крупным инцидентом и нежеланием исправляться.

Что должен проверить руководитель сегодня, чтобы завтра не получить предписание

Руководителю не нужно становиться экспертом по криптографии или DLP. Его задача — создать и контролировать работающую систему управления рисками в области ПДн. Вот чек-лист ключевых точек контроля:

  • Документальная база. Существует ли утверждённый внутренний документ (приказ) об организации обработки ПДн? Назначено ли ответственное лицо? Разработана и утверждена ли модель угроз актуальная для вашего бизнеса? Есть ли политика обработки и политика безопасности?
  • Технические меры. Внедрён ли аттестованный ФСТЭК или сертифицированный ФСБ России комплекс средств защиты (СЗИ)? Это не обязательно дорогое импортное ПО — российские аналоги тоже подходят. Проводятся ли регулярные оценки эффективности этих мер?
  • Процессы. Проводится ли обязательный инструктаж сотрудников, работающих с ПДн? Существует ли регламент реагирования на инциденты (IRP)? Ведётся ли журнал учёта носителей ПДн?
  • Юридические основания. Все ли основания для обработки данных легитимны (согласие, договор, закон)? Актуально ли уведомление в Роскомнадзоре? Готовы ли вы предоставить субъекту данные о его обработке по запросу в установленный законом срок (30 дней)?
  • Аудит и мониторинг. Проводятся ли внутренние проверки (аудит) соответствия требованиям 152-ФЗ и приказов ФСТЭК? Есть ли мониторинг событий безопасности в информационных системах, где обрабатываются ПДн?

Отсутствие любого из этих элементов — брешь, которая при проверке станет основанием для предписания.

Инструкция действий при обнаружении утечки

Если инцидент произошёл, паника — худший советчик. Действия должны быть чёткими и последовательными.

  1. Фиксация и локализация. Немедленно зафиксировать факт, время и предполагаемый объём утечки. Отключить компрометированные системы или сегменты сети от интернета для предотвращения дальнейшего слива, если это возможно без остановки критических процессов.
  2. Сбор внутренней рабочей группы. Включить в неё ответственного за ПДн, руководителя ИБ, юриста, PR-специалиста и представителя технического подразделения. Вести протокол всех решений.
  3. Уведомление регуляторов. Роскомнадзор требует уведомить его о нарушении требований к безопасности ПДн в срок, предусмотренный политикой оператора, но не позднее 24 часов с момента обнаружения. Фактически, лучше уложиться в 24 часа. Текст уведомления должен быть подготовлен юристом. Уведомлять ФСТЭК напрямую о самой утечке не требуется, но он получит информацию либо от Роскомнадзора, либо в рамках своих полномочий.
  4. Работа с данными. По возможности определить, какие именно данные утекли (номера, имена, пароли). Оценить риски для субъектов (например, возможность мошенничества).
  5. Коммуникация (опционально). В случае высокого риска причинения вреда субъектам ПДн (утекли пароли, финансовые данные) может потребоваться публичное информирование и рекомендации по смене паролей, блокировке карт. Это delicate matter, требующее участия PR и юристов.
  6. Расследование и отчёт. Провести внутреннее расследование причин, устранить уязвимость, обновить модель угроз и меры защиты. Подготовить подробный отчёт, который может быть затребован регулятором.

Главная ошибка на этом этапе — попытка скрыть инцидент. В цифровую эпоху это практически невозможно, а последствия сокрытия для репутации и штрафов будут катастрофическими.

Мифы, которые мешают принимать адекватные меры

  • «Мы маленькая компания, нас не заметят». Роскомнадзор проводит плановые и внеплановые проверки по жалобам граждан. Утечка данных клиента, даже из небольшой фирмы, легко может стать поводом для жалобы и последующей проверки, которая выявит полный набор нарушений.
  • «Данные в облаке, значит, за безопасность отвечает провайдер». Это фатальное заблуждение. По 152-ФЗ оператор ПДн (вы) несёт полную ответственность за безопасность данных, даже если их обработка поручена третьему лицу (обработчику). Вы обязаны обеспечить, чтобы обработчик соответствовал требованиям, и это должно быть отражено в договоре. Регулятор штрафует именно оператора.
  • «У нас есть сертифицированный ФСТЭК межсетевой экран, этого достаточно». Защита ПДн, это система (СЗПДн), а не отдельный прибор. МЭ — лишь один из элементов. Без модели угроз, организационных мер, защиты от внутренних нарушений, шифрования каналов и носителей сертифицированный firewall не спасёт от штрафа за утечку.
  • «Мы всё сделали по шаблону из интернета пять лет назад». Модели угроз и требования к защите эволюционируют. Угрозы пятилетней давности неактуальны сегодня. Документы и меры защиты требуют регулярного пересмотра (рекомендуется не реже раза в год или при существенных изменениях в ИС).

Стоимость заблуждения в каждом из этих пунктов измеряется миллионами рублей потенциальных штрафов и потерей деловой репутации.

Оставьте комментарий