Виктория Меньшова, консультант по информационной безопасности компании «КИТ», прокомментировала для CISOCLUB возможные последствия ужесточения ответственности за утечки персональных данных. По её словам, после внесения изменений в КоАП РФ увеличились суммы штрафов, в том числе за повторные нарушения, и это напрямую затронуло случаи, связанные с компрометацией персональных данных.
Эксперт уточнила, что размер санкций зависит от категории данных и объёма утечки, а диапазон может составлять от сотен тысяч до десятков миллионов рублей.
«Согласно внесенным изменениям в КоАП РФ, увеличились суммы установленных штрафов, в том числе штрафов за повторные нарушения. Исключением не стали штрафы за утечку персональных данных, установленные частями 12 – 18 статьи 13.11 КоАП РФ. Размер штрафов может быть разным и зависит от категории персональных данных и объемов утечки. Размер штрафа может варьироваться от сотен тысяч до десятков миллионов», — отметила Виктория Меньшова.
Эксперт обратила внимание, что законодательство обязывает операторов персональных данных фиксировать инциденты и передавать сведения регуляторам. При этом ответственность предусмотрена не только за сам факт утечки, но и за непредставление информации о ней.
«Непредставление информации об инцидентах (в том числе утечках), согласно части 11 статьи 13.11 КоАП РФ, будет караться административной ответственностью», — пояснила она.
По словам Виктории Меньшовой, в ряде случаев повышенные штрафы подталкивают организации к сокрытию инцидентов и оперативному устранению последствий. В то же время для части компаний может оказаться проще оплатить санкцию, чем пытаться скрыть факт утечки. Однако попытка утаивания способна привести к двойной ответственности — отдельно за саму утечку и отдельно за сокрытие информации.
«Если организация сокроет факты утечки персональных данных, ей назначат два штрафа: один будет касаться сокрытия информации об инциденте, другой будет назначен в зависимости от объема и характера утечки. В данном случае сокрытие является не самым выгодным выходом для организаций, так как увеличивает объемы общего денежного штрафа за нарушения», — подчеркнула эксперт.
Она также отметила, что характер инцидентов может быть различным — от компрометации данных до их шифрования с последующим требованием выкупа. По её словам, злоумышленники активно используют страх перед штрафами и репутационными потерями как инструмент давления на бизнес.
«Одним из распространенных случаев является не только утечка данных, но и их шифрование, где злоумышленник может требовать денежное вознаграждение за то, чтобы расшифровать данные. При этом злоумышленники могут прибегать к шантажу и угрожать тем, что раскроют информацию о фактах утечки персональных данных, понимая, что организация не хочет раскрывать информацию из-за административной ответственности», — заявила Виктория Меньшова.
По её наблюдениям, количество инцидентов в сфере персональных данных увеличилось, поскольку у атакующих стало больше мотивации для шантажа и публичного заявления о себе. При этом мотивация может различаться — от получения финансовой выгоды до стремления к самореализации.
«Однозначно можно сделать вывод, что с увеличением контроля за утечками персональных данных, участились случаи установленных нарушений, однако мотивация злоумышленника не всегда может предусматривать шантаж, а в том числе желание самореализоваться и показать себя», — заключила эксперт.