Со штрафами всё на оборот
Будущее наказание за утечки уже влияет на рынок хранения данных
Крупные оборотные штрафы за утечки персональных данных, которые начнут действовать с 30 мая, повысили спрос бизнеса на аудит своих систем информзащиты. Операторы персональных данных надеются, что такие мероприятия и исполнение требований регуляторов помогут им снизить потенциальный штраф в случае утечки. Эксперты по кибербезопасности же видят риски из-за попыток бизнеса перенести ответственность за сохранность данных на аудиторов или защитников информации.
Фото: Олег Харсеев, Коммерсантъ
Фото: Олег Харсеев, Коммерсантъ
Компании, являющиеся операторами персональных данных, все чаще стали проводить аудит своих систем хранения и защиты информации, рассказали “Ъ” специалисты по кибербезопасности и профильные юристы. Бизнес инвестирует в аудит защиты как для того, чтобы избежать санкций со стороны регуляторов, так и для получения права на снижение потенциального штрафа в случае утечки, говорят участники рынка.
Так, по данным юридической компании ЭБР, спрос на аудит систем хранения и защиты данных вырос более чем в два раза по сравнению с весной прошлого года. Советник практики интеллектуальной собственности компании Артем Евсеев отмечает, что если раньше аудит могли делать «для галочки», то сейчас цена вопроса стала слишком высокой для подобного формализма. «Его проведение необходимо, чтобы заранее выявить риски и минимизировать их до привлечения к ответственности. Это актуально и на фоне снятия моратория на внеплановые проверки Роскомнадзора»,— добавляет он.
С конца 2023 года компании уже вынуждены платить до 700 тыс. руб. за одно неправильно заполненное согласие на обработку данных работника, приводят пример в ЭБР. В декабре 2024 года была введена отдельная статья в УК РФ, посвященная ответственности за нарушение 152-ФЗ «О персональных данных». С мая 2025 года будут введены оборотные штрафы за утечки персональных данных. Если раньше максимальный штраф составлял 18 млн руб., то уже этим летом компании могут столкнуться с санкциями до 500 млн руб. Таким образом, максимальный размер штрафов вырос в 27 раз (см. материал на этой странице).
Оборотные штрафы введены для компаний за повторную утечку данных в размере от 1% до 3% от оборота за год, но не менее 25 млн и не более 500 млн руб. В настоящее время в реестре операторов персональных данных Роскомнадзора содержатся сведения о 942,5 тыс. операторов данных (по состоянию на 20 марта).
Аудит систем обработки и хранения персональных данных в том числе растет на фоне общего роста спроса на продукты и услуги информационной безопасности. Как отмечает заместитель гендиректора «СКБ Контур» Михаил Добровольский, запросы на такой аудит в «Контур.Безопасность» поступали и ранее, до изменений в законодательстве, однако в последние месяцы спрос значительно вырос, «особенно со стороны крупных холдингов и групп компаний, которые хотят минимизировать риски и соответствовать требованиям регуляторов». Опрошенные “Ъ” ИБ-специалисты связывают это с ужесточением ответственности за нарушение законодательства «О персональных данных».
В том числе интерес к аудиту связан с возможностью снизить размер оборотного штрафа, если компания докажет выполнение всех требований законодательства, включая регулярные аудиты ПД, говорит Артем Евсеев. Мероприятие включает в себя проверку информационных процессов, разработку полного комплекта внутренних документов и внедрение эффективных мер защиты конфиденциальности.
Сами регуляторы неоднократно подчеркивали, что ужесточение наказания за утечки — это следствие участившихся инцидентов (см. “Ъ” от 27 ноября 2024 года). Так, по данным Роскомнадзора, количество выявленных утечек в 2022 году было на уровне 140. В 2023 году было зафиксировано еще 168 утечек, в 2024-м — еще 135, а в первые месяцы текущего года ведомство уже отчиталось о 19 выявленных утечках (см. инфографику). Общее число записей о россиянах, попавших в открытый доступ с 2021 года, перевалило за 1,6 млрд
Проверить, чтобы защитить
Для проведения аудита компании чаще всего привлекают юристов и консультантов, работающих с защитой персональных данных, а также специалистов по кибербезопасности, имеющих сертификацию в области защиты данных ФСТЭК и ФСБ России. Проекты по проведению порядка обработки персональных данных состоят из нескольких этапов, отмечает директор департамента консалтинга и аудита компании «Информзащита» Александр Барышников. Сначала происходит обследование текущего состояния процессов обработки данных, информационных систем, IT-инфраструктуры и принятых мер защиты данных. В рамках последующих этапов специалисты определяют угрозы безопасности данных, проводят классификацию систем по уровням защищенности в соответствии с требованиями регуляторов. Дальше для заказчика аудита готовится пакет необходимой нормативной и организационно-распорядительной документации по порядку обработки информации, в рамках аудита юристы также могут проверить правомерность ее получения.
Самым важным критерием при подготовке аудита руководитель отдела консалтинга и аудита защиты информации «Бастион» Ирина Якунина называет именно соответствие требованиям нормативных правовых актов РФ. «Существующая законодательная документация сопровождает процесс обработки данных на этапах от начала обработки до полного уничтожения, и на всех этих этапах важно привести системы заказчика в соответствие с нормами закона»,— отмечает она.
В Роскомнадзоре “Ъ” сообщили, что поддерживают усилия компаний по защите данных: «Полагаем, что целесообразно проводить аудит процессов сбора и использования данных, чтобы убедиться в соблюдении принципов работы с ними: проанализировать законность источников данных и правовые основания для их сбора, проконтролировать соблюдение принципа минимизации объема собираемых данных, удостовериться, что данные соотносятся с целью сбора и от них избавляются по достижении этой цели». В Роскомнадзоре рекомендуют отечественным организациям пользоваться мощностями российских хостинг-провайдеров.
Стоимость такого аудита варьируется от нескольких сотен тысяч рублей до десятка миллионов в зависимости от ряда факторов: масштаба бизнеса, объемов и видов обрабатываемых данных, наличия биометрии или сведений о состоянии здоровья, сложности IT-инфраструктуры и др., говорит руководитель департамента аудита, консалтинга и оценки соответствия АО «Кросс технолоджис» Антон Исупов
Для субъектов малого и среднего предпринимательства стоимость такой услуги, скорее всего, не станет значительным финансовым обременением благодаря гибким условиям и адаптированным подходам большинства поставщиков таких услуг, допускает он.
Учитывая, что крупный бизнес давно и много инвестирует в архитектуры решений по защите персональных данных, в будущем инструменты должны быть адаптированы под более «мелких заказчиков», допускает заместитель гендиректора по инновационной деятельности «СерчИнформ» Алексей Парфентьев. «Существующие архитектуры решений по защите данных от утечки для "всех и каждого" не применимы из-за сложности, раздутого функционала, высоких требований к квалифицированному сопровождению и обучению операторов. Именно упрощение ИБ-инструментов, возможность их работы "из коробки", интуитивно понятный интерфейс и высокая надежность играют решающую роль в защите небольших компаний от рисков утечек информации»,— добавляет он.
Опрошенные “Ъ” представители операторов персональных данных подтверждают, что стали уделять дополнительное внимание их хранению и защите. Так, в Ассоциации больших данных (АБД; объединяет «Яндекс», VK, «Ростелеком», «МегаФон» и др.) напоминают, что их специалисты разработали «Отраслевой стандарт защиты данных». Ассоциация сравнивает его с международной серией стандартов ISO/IEC 27000. «На наш взгляд, прохождение аудита в соответствии со стандартом может учитываться судами как смягчающее ответственность обстоятельство»,— предположили в АБД.
Международными стандартами ISO все еще пользуются в некоторых крупных IT-компаниях. Так, о своем соответствии им заявляют в «Яндексе». Впрочем, как отметили в пресс-службе компании, в прошлом году «Яндекс» вместе с другими подписал «Отраслевой стандарт защиты данных» и получил по нему 27,5 балла из 29 при минимальном пороге в 18 баллов. Также в том году организация прошла 50 независимых аудитов безопасности.
Неотъемлемой частью работы в сфере персональных данных аудит называют и в Wildberries и Russ. Как отметили в пресс-службе компании, у них функционирует команда экспертов по защите данных (DPO — Data Protection Office). На вопрос, будет ли бизнес закладывать дополнительные издержки на защиту персональных данных и потенциальные штрафы в цены на свои услуги, операторы ПД не ответили. Гендиректор НЦК ИСУ и директор департамента информатизации РЖД Кирилл Семион предполагает, что «риск получения оборотого штрафа приведет к переводу работы оператора персональных данных в отдельный вид услуги, которую бизнес будет брать на условиях аутсорсинга».
Не коллективная ответственность
Некоторые источники “Ъ” предполагают, что ответом бизнеса на вводимые оборотные штрафы может стать «дробление» юридических лиц с передачей прав на обработку информации. Так, например, крупная компания может создать юрлицо и передать ему права на обработку данных, ожидая, что в случае утечки штраф будет формироваться именно на основе оборотов малой компании, говорит собеседник “Ъ” на рынке кибербезопасности. Однако консультант по информационной безопасности Aktiv.Consulting Никита Козин отмечает, что «невозможно полностью передать таким образом ответственность за обращение с персональными данными». На данный момент в 152-ФЗ есть определение «обработчиков персональных данных», которым изначальный оператор поручает оборот информации. «Однако ответственность перед регулятором в случае инцидента несет первоначальный оператор»,— подчеркивает господин Козин.
Также в отрасли считают, что перенос ответственности на ИБ-компании невозможен. Компания-оператор является главным ответственным за обработку своих данных, и она будет по умолчанию ответственным перед надзорным органом за утечки, говорит руководитель отдела оценки соответствия и консалтинга компании F6 (бывшая Group-IB) Роман Сюбаев. Дальнейшее распределение ответственности между компанией и внешними ИБ-подрядчиками будет основано на договорах между ними, добавляет он. «Не стоит ожидать, что получится полностью перенести ответственность на внешние компании, так как от утечки на 100% не застрахован никто, и ИБ-подрядчик не будет согласен на такие условия»,— заключает он.
В целом большинство опрошенных “Ъ” экспертов в области обращения данных считают, что новые требования направлены на обеспечение реальной, а не формальной безопасности. Так, по словам эксперта по ИБ компании «Инфосистемы Джет» Антона Бакурадзе, факт утечки повлечет за собой ответственность, которую невозможно избежать с помощью формального соответствия требованиям. «Компаниям необходимо внедрять эффективные меры защиты и повышать общую культуру работы с персональными данными»,— уверен Антон Бакурадзе.