Об усилении ответственности за нарушение порядка обработки ПДН. Аргументы и факты

Об усилении ответственности за нарушение порядка обработки ПДН. Аргументы и факты

Об изменениях в законодательстве

30 ноября 2024 года принят Федеральный закон № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее — 420-ФЗ), который вступит в силу 30 мая 2025 года, по истечении 180 дней со дня опубликования на официальном интернет-портале правовой информации.

Нововведения в первую очередь направлены на существенное усиление ответственности операторов за нарушения порядка обработки персональных данных, а не только на борьбу с утечками и их последствиями, как позиционировалось на стадии публичного обсуждения соответствующего законопроекта. 

В числе прочего частями 11-18 дополнена статья 13.11 Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (далее — КоАП РФ) устанавливающая ответственность и размеры налагаемых штрафов.

В зависимости от установленной категории административного правонарушения, предусмотрено наложение штрафа за:

• невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных, а также в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных;
• действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные (включая специальную категорию персональных данных, а также биометрические персональные данные (за исключением случаев, предусмотренных статьей 13.11.3 КоАП РФ), если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния, а также за совершение соответствующих им повторных правонарушений.

Сведения о принятых изменениях консолидированы в таблице (см. Таблица).

Таблица. Сведения о принятых изменениях

Немного предыстории

С 2018 года в Российской Федерации наблюдается активный ежегодный рост числа совершаемых кибератак, направленных на кражу персональных данных, а также фактов проведения в отношении субъектов персональных данных мошеннических действий, способы их реализации становятся все более разнообразными. В силу определенного накопительного эффекта это привело законодателей к выводу о неэффективности предпринимаемых мер, направленных на предотвращение подобных атак и на минимизацию последствий их реализации.

Во многом принятые меры — вынужденная альтернатива бездействию. Возникает вопрос, могут ли и при каких условиях эти нововведения переломить негативные тенденции в борьбе с утечками данных в современных реалиях. Однозначно проблема требует рассмотрения отдельных своих аспектов под углом зрения разных субъектов экономики данных.  В первую очередь речь пойдет о крупных операторах обработки персональных данных, поскольку утечки их инфраструктуры в следствии масштаба и охвата клиентской базы вносят в статистику наибольший вклад.

Безусловно, в крупных компаниях ужесточение штрафов за совершение правонарушений по работе с персональными данными привлечет внимание высокопоставленных руководителей к вопросам организации и выстраивания эффективной защиты персональных данных. Сыграют свою роль и репутационные риски. Но надо понимать, что это существенно увеличит бюджеты на обеспечение информационной безопасности лишь в компаниях, которые: а) раньше не уделяли этим вопросам должного внимания, б) располагают достаточным объемом средств, чтобы не перенаправлять их с более актуальных бизнес-задач. При этом выделенные бюджеты будут использованы эффективно только при условии, что такие компании кардинально пересмотрели применяемые подходы к обеспечению кибербезопасности и сделают ее постоянное совершенствование одной из приоритетных задач развития и поддержания бизнеса. В самом лучшем случае при максимальном вовлечении в процесс квалифицированных сил и ресурсов эффект все равно не будет мгновенным, а за тот год (или два) могут произойти инциденты, если не обесценивающие, то во всяком случае сильно снижающие ценность результата, с которым принято сравнивать затраты на его достижение. А еще следует понимать, что впоследствии все равно никаким инвестированием (вне зависимости от его объема) не будут на сто процентов гарантированы ни отсутствие инцидентов, связанных с утечками данных, ни полное нивелирование последствий таких инцидентов.

Отметим, что на сегодняшний день к финансовым организациям на протяжении многих лет уже применяется множество регуляторных требований, в том числе обязывающих проходить периодические проверки соответствия установленным требованиям безопасности.

Помимо прочего финансовые организации (как минимум, крупные игроки на рынке, конкуренция между которыми достаточно велика) вынуждены принимать в расчет также и репутационные риски, во избежание оттока действующих и снижения темпов привлечения новых клиентов. Они вынужденно, без дополнительных законодательных стимулов заинтересованы в построении и скорейшей реализации адекватной системы защиты информации и поддержании ее на должном уровне. Как следствие, в таких организациях ни расширение классификатора правонарушений, ни ужесточение административных штрафов за них не увеличат объем эффективных инвестиций в информационную безопасность, поскольку этот объем скорее всего уже достиг тех значений, которые позволяют развивать безопасность без ущерба для бизнес-функции организации. Напротив, по факту утечки данных в силу самого факта утечки, даже в случае объективного отсутствия вины компании, ее средства будут вынужденно расходоваться на уплату штрафов (а не на выплаты субъектам персональных данных, чьи права были нарушены), что может привести к   недофинансированию в том числе статей расходов на информационную безопасность.

При этом следует заметить, что далеко не каждая компания, даже в случае ее экономической заинтересованности, сможет себе позволить бюджетировать и обеспечить полноценное выполнение установленных на регуляторном уровне требований по защите персональных данных, сколько угодно сопоставимых с реализацией системы защиты в крупных организациях. А как известно уровень защиты любой системы определяется уровнем защиты ее наименее защищенного компонента. Возможно, если не прежде, то одновременно с проработкой штрафных санкций следует обратить внимание и на то, что отдельные требования в ряде действующих профильных документов регуляторов не обновлялись в течение весьма продолжительного времени, и как следствие, не адаптированы к применяемым в современных реалиях ИТ-технологиям и не отражают эффективных способов или направлений их защиты. При этом нормативное регулирование осуществляется на уровне нескольких ведомств одновременно (зачастую рассинхронизированно), и многие требования в отношении одних и тех же процессов, и направлений защиты информации излагаются в альтернативных формулировках (а потом проверяются по нескольку раз одним ведомством за другим, отвлекая как ресурсы проверяющих, так и проверяемых).

Как еще можно двигаться в направлении защиты персональных данных и противодействия утечкам данных

Прежде всего, понимая количество и объемы фиксируемых утечек данных и динамику этого показателя в современных реалиях, следует уделить особое внимание работе, направленной на повышение раскрываемости киберпреступлений, связанных с кражей и (или) распространением (в том числе неконтролируемым или реализуемым путем продажи) утекших данных, усилиям в отношении выявления и пресечения соответствующей деятельности со стороны незаконных цифровых сообществ, иных подобных им формирований и подконтрольных им лиц, совершающих вышеуказанные правонарушения (далее — мошеннические сообщества), а также максимального ужесточения наказания виновных за целенаправленное осуществление мошеннической деятельности. Наряду с организацией и выстраиванием межведомственного взаимодействия на различных уровнях, координируемых из единого центра противодействия кибермошенничеству, выполняющего роль центра соответствующих компетенций, целесообразно активнее применять меры подавления мошеннических ресурсов, в том числе реализуемые с использованием проактивных методов «offensive security», например, кибератак на соответствующие ресурсы в Darknet. Реализация таких методов может осуществляться как силовыми ведомствами, так и с привлечением лицензированных организаций. Для повышения раскрываемости киберпреступлений целесообразно также отдельно рассмотреть возможность внедрения в мошеннические сообщества или имитации их деятельности с применением скомпилированных фейковых баз данных с целью выявления их органов управления, сети покрытия, источников распространения, заказчиков поставок и потребителей данных. В ходе расследования киберпреступлений следует предусмотреть реализацию процедур, посредством которых совместно (на уровне различных ведомств) будут проводиться разбирательства по каждому факту утечки данных с выявлением и анализом ее корневых причин и последствий, вырабатываться превентивные меры, направленные на своевременное выявление и нейтрализацию «слабых» мест в реализации защиты применяемых технологий, устанавливаться состав апостериорных мер, прежде всего, направленных на нейтрализацию неконтролируемого распространения утекших данных. Одновременно в виде конкретных требований или решений полезно тиражировать полученные знания и опыт в профильные организации с целью недопущения повторного применения выявленных схем реализации угроз безопасности информации и нейтрализации используемых ими уязвимостей.

В целях пресечения использования мошенниками информационных поводов, связанных с фактами массовой публикации и таргетированного распространения сведений об утечке данных из конкретной организации, как элемента психологического воздействия при реализации со стороны нарушителей методов социальной инженерии, а также предотвращения обусловленных такими поводами информационного резонанса и необдуманных действий со стороны субъектов персональных данных, публичное (массовое) распространение (включая неконтролируемое тиражирование) соответствующей информации о крупных утечках должно быть исключено до ее проверки и подтверждения компетентными органами. При этом субъекты персональных данных не должны быть поражены в правах на информацию, которая может уберечь их от ошибок и заставит действовать более осторожно.

В свою очередь, в качестве альтернативы некачественным источникам информации предлагается повысить привлекательность получения информации (за счет ее точности, актуальности, оперативности и объективности) от сервисов государственных информационных систем, таких как: «Единый портал государственных и муниципальных услуг (функций)» (gosuslugi.ru), систем электронных опросов, например, «Активный гражданин» или иных государственных справочно-информационных интернет-порталов, в том числе с учетом планов их развития и реализации на их платформе нового функционала.  В зависимости от характера предоставляемых сведений такое информирование может осуществляться как персонализировано — посредством доступа к личному кабинету пользователя и размещения сведений, касающихся непосредственно субъекта персональных данных, так и коллективно — путем размещения общедоступной информации. Вышеуказанные сервисы и системы также могут быть эффективно использованы не только как доверенный источник проверенной информации, но и как ресурсы для повышения киберграмотности населения, а также доведения до целевой аудитории в простой и наглядной форме правил цифровой гигиены для обеспечения личной безопасности в цифровом пространстве, противостояния социальной инженерии. Инструментами вовлечения граждан в данный процесс может служить рассылка коротких уведомлений из рубрики: «Знаете ли Вы, что…», посредством которых на конкретных примерах будут разъясняться нормы поведения в цифровом пространстве с предложениями пройти экспресс-тестирование на определение своего уровня киберзрелости. Главное в подобных сервисах правильно выставить баланс «полезности — навязчивости» и обеспечить максимально интересный и полезный контент. Мотивацией могут служить введение рейтингов участников, успешно прошедших максимальное количество тестов за определенный интервал времени (например, за неделю) и поощрений лидеров в виде бонусов или иных вознаграждений, а также предоставления лицам, выразившим интерес к кибертематике, доступа (подписок) на получение соответствующих информационных рассылок и дайджестов с актуальными новостями.

При организации работы с персональными данными, в дополнение к обязательным требованиям по минимизации состава атрибутов, собираемых и обрабатываемых данных, важно минимизировать источники централизованного получения доступа к консолидированным наборам персональных данных. В случае выгрузки данных из систем и компонентов систем централизованного хранения и обработки персональных данных применять меры в целях обеспечения возможности последующего установления источника и объема выгруженных данных, а также субъектов или объектов доступа, осуществивших выгрузку таких данных.

Реализуя инициативу о введении оборотных штрафов для крупного бизнеса (как Quick win для формального достижения цели), следует максимально  уточнить критерии оценки утечек данных и их последствий, определить, контролировать и на постоянной основе актуализировать рекомендуемые состав и содержание мер защиты информации по каждому направлению деятельности по защите персональных данных, соответствующие современным технологиям и применяемым техникам для предотвращения кибератак, а также продумать и реализовать компенсирующие меры, статус реализации которых будет учитываться при исчислении размера налагаемого штрафа.