Автор: Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва)
По результатам исследований, в 2024 г., как и годом ранее, сохраняется тенденция роста доли утечек информации из малых организаций: показатель увеличился с 18,1% до 27,8%. При этом большинство инцидентов связано с утечками персональных данных – они составляют 64,8% от общего числа случаев в России. Персональные данные малого и среднего бизнеса все чаще становятся мишенью злоумышленников. Кто виноват и что делать в первую очередь?
Малый и средний бизнес зачастую находится в плену стереотипа: он якобы не интересует злоумышленников, охотящихся за персональными данными. Но, как известно, любые стереотипы рано или поздно рушатся. На глазах исчезает и этот. По статистике, в 2024 г. киберпреступники выкладывали в Интернет данные, утекшие преимущественно от небольших компаний. Объем таких утечек от представителей малого и среднего бизнеса вырос в 4 раза по сравнению с прошлым годом. Как выяснили аналитики Kaspersky Digital Footprint Intelligence, только за I квартал 2024 г. у представителей МСБ утекли 47 млн записей данных (против 12 млн в прошлом году) [1]. По итогам 2024 г. тренд на увеличение количества утечек из малых организаций сохраняется [2].
МСБ страдает сегодня не только от внешних угроз, но все больше – и от внутренних нарушителей, действующих преднамеренно. Анализ данных о внутренних инцидентах показал, что в 2023 г. 71% компаний МСБ сталкивались с попытками слива информации. В большинстве случаев инсайдеры пытались передать вовне финансовую информацию (64%), техническую документацию (50%) и персональные данные клиентов (47%).
Часто малый и средний бизнес – поставщик или подрядчик крупных организаций, он имеет доступ к персональным данных последних, но защищает их недостаточно. Крупный бизнес в последние годы усилил свою защиту, а вот малые и средние организации не обладают достаточными знаниями и ресурсами для полноценной защиты от киберугроз, что делает их более привлекательными для атакующих [3].
Угрозы ПДн в МСБ усилились неслучайно – злоумышленникам стали очевидны их уязвимости.
Во-первых, малые и средние организации недооценивают опасность угроз обрабатываемым персональным данным ("у нас малый бизнес, кому мы нужны") и не защищают ПДн. В организациях порой нет обученного ответственного за ПДн, а где-то и вовсе имеют лишь смутное представление о персональных данных. Игнорирование проблемы на фоне роста числа утечек ПДн из МСБ, статистические данные о которых приведены выше, – это ошибка, отрыв от реальности, а потому – опасная уязвимость.
Во-вторых, если малые и средние организации все же понимают важность обеспечения безопасности ПДн, они имеют ограниченные ресурсы: не могут позволить себе обучить ответственного за организацию обработки ПДн, обучить ИТ-специалиста основам кибербезопасности (а часто ИТ-специалиста и вовсе нет в штате организации), крайне редко проводят аудит систем безопасности, а о внедрении систем защиты данных нет и речи. После ускоренного перехода на онлайн-сервисы после 2020 г. они не всегда внедряют адекватные меры безопасности. Все это упрощает несанкционированный доступ к информационным системам персональных данных (ИСПДн), и МСБ становится слабым звеном в цепочке партнерства для крупных компаний.
Злоумышленники выбирают цели с оптимальным соотношением затрат и потенциальной выгоды. Низкие затраты на атаку и высокая доходность определяют сегодня тенденцию к смещению фокуса злоумышленников с крупных корпораций на субъекты МСБ. Сегодня вся ИБ-отрасль испытывает острый дефицит специалистов, и уж тем более – специалистов, которые способны организовать обработку ПДн в условиях ограниченных ресурсов МСБ.
В-третьих, малые и средние организации зачастую плохо осведомлены (или недостаточно осведомлены) о требованиях российского законодательства в области ПДн. Между тем, эти требования касаются всех операторов ПДн, в том числе и МСБ. Если они и знают о таких требованиях, то выполняют их часто некорректно. Так, например, результаты проверок Роскомнадзора показали, что наиболее частым нарушением обработки ПДн на сайте является отсутствие размещенного на сайте согласия на обработку ПДн, а также нарушения, связанные с некорректным содержанием размещенных на сайтах политик (ч. 1 ст. 18.1 152–ФЗ) [4]. Причем нарушение правил может быть не только непреднамеренным (от неосведомленности), но и маскироваться под намеренное принятие комплаенс-рисков. Нормы ФЗ–152 "О персональных данных" (ст. 18.1 и ст. 19) имеют множество нюансов, превращающих их практическое применение поистине в науку и искусство. К сожалению, еще не все избавились от заблуждения о тождестве понятий "защита информации" и "техническая защита информации". Защита ПДн в МСБ – это не только программноаппаратные и технические меры, но в большей степени – обязательные организационные меры по требованиям технической защиты ПДн.
Нормативно-правовая база по ПДн стремительно меняется. Так, с 2006 г. в 152–ФЗ "О персональных данных" изменения вносились более тридцати раз. Государственные регуляторы – ФСБ России, ФСТЭК России, Роскомнадзор – постоянно принимают новые нормативные акты, отраслевые министерства и ведомства также вносят свой вклад. Большие дискуссии вызвали нашумевшие изменения, внесенные недавно в Уголовный кодекс РФ, КоАП РФ, Трудовой кодекс РФ. Все эти обновления требуют исполнения. Если не исполняются – это уязвимость и для субъектов, и для операторов ПДн.
Мы проанализировали динамику составов правонарушений в области обработки ПДн и штрафов за эти правонарушения в 2007–2025 гг. – она впечатляет. Если в 2007 г. мы имели дело только с одним составом, то сегодня, в 2025 г., составов уже 18. И если в 2007 г. штраф для руководителя составлял 500–1000 руб., то сегодня эта сумма поднялась до 2 млн руб. Еще более рискует организация: штраф за правонарушение в области ПДн может составить 500 млн руб. Что это за составы? Каковы штрафы за правонарушения в МСБ? Каковы три условия, чтобы получить смягчающие обстоятельства? Неспособность МСБ детально разобраться в составах правонарушений, оценить и минимизировать риски потенциального ущерба за неправильную работу с персональными данными – это серьезная уязвимость для МСБ как оператора.
Новая норма сегодня – не ждать, пока грянет гром, а, согласно ст. 22.1 ФЗ–152, назначить ответственного за организацию обработки ПДн в своей организации. Целесообразнее на эту роль выбрать не ИТ-специалиста, а того, кто понимает бизнес-процессы организации и движение ПДн внутри этих процессов. А вот штатного ИТ-специалиста следует назначить ответственным за защиту ПДн, как это рекомендовал операторам персональных данных Роскомнадзор 8 августа 2023 г. [5].
Что дальше? Чтобы не отставать от нормативной базы и новых технологий несанкционированного доступа к защищаемой информации, ответственные за ПДн в организациях МСБ обязаны постоянно обновлять свои компетенции в этой области [6]. Эта обязанность предусмотрена ст. 18.1 п. 6 ФЗ–152 "О персональных данных" как мера, направленная на обеспечение выполнения оператором обязанностей, предусмотренных этим Федеральным законом: "ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников".
Своевременными были бы, конечно, институциональные решения – нормативное закрепление обязательности и периодичности обучения и повышения квалификации, внедрение обязательных краткосрочных курсов по 152–ФЗ для ответственных за ПДн, как это предусмотрено, например, постановлением Правительства РФ № 399. Но пока таких решений нет, требуется обучать их на курсах профессиональной переподготовки или повышения квалификации по ПДн и далее регулярно обновлять их компетенции. Ответственные, в свою очередь, могут обучать сотрудников своих организаций, вовлеченных в процесс обработки ПДн.
Проактивные инвестиции в обучение, как известно, гораздо эффективнее реактивных расходов после инцидентов с утечками ПДн. Но хочется предостеречь МСБ от бесполезных трат и без того ограниченных средств на формальные "корочки". Курсы необходимо выбирать у организаций-лицензиатов, имеющих реальную практику оказания услуг по обработке и защите ПДн, состоящих в перечне организаций, осуществляющих образовательную деятельность, и имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с ФСТЭК России. Только они имеют опыт системного подхода к адекватному, персонализированному решению этих задач, в том числе – в условиях ограниченных ресурсов малых и средних организаций с учетом их специфики.
Итак, персональные данные в малом и среднем бизнесе становятся все более привлекательной мишенью для злоумышленников. А учитывая игнорирование проблем ПДн в МСБ-организациях, ограниченные ресурсы МСБ и недостаточное внимание к обновлению знаний о меняющихся нормах и технологиях работы с ПДн, – еще и более легкой добычей. МСБ не может сегодня, как раньше, игнорировать вопросы обучения и непрерывного повышения квалификации своих работников, ответственных за организацию обработки ПДн. Это – главный, первоочередной шаг.
Да и регуляторы, и судебная система отнесутся к вам благосклонней, если ваши ответственные за организацию обработки и защиту ПДн будут иметь актуальные знания и умения в области их обработки и защиты.