30/01/20
Экспертно-аналитический центр ГК InfoWatch опубликовал первый отчет о судебной практике по делам, связанным с утечками информации ограниченного доступа. Исследование проводилось в целях выявления основных и наиболее очевидных проблем правоприменения в области защиты информации.
Согласно результатам исследования, каждое четвертое дело заканчивается вынесением реального или условного срока, а максимальная сумма ущерба по делу об утечке информации, подтвержденная решением российского суда в 2018 г., составляет 14 млн руб.
Значительная часть (69,1%) дел об утечках конфиденциальной информации рассматривалась по правилам уголовного судопроизводства. И только в результате рассмотрения менее 5% всех дел суд назначил нарушителю реальный срок заключения. Ещё примерно 21% дел завершились условными сроками, а в более чем 30% случаев вынесены различные виды штрафов. Каждое четвертое дело приводит только к увольнению нарушителя. Только 8,6% дел были прекращены за примирением сторон.
Злоупотребление доступом к конфиденциальной информации представляет более половины судопроизводств (59,5%). Второе и третье место занимают разглашение и неправомерный доступ (24,5 и 16% соответственно). Основными мотивами осуществления преступных действий являются корысть (83,6%) и месть (16,4%). Более 70% утечек, которые легли в основу судебного производства, произошло из-за неправомерных действий сотрудников коммерческих и некоммерческих организаций и всего 20% утечек случилось в результате действий внешних злоумышленников.
Ярким примером неправомерного использования конфиденциальной информации можно считать различные мошеннические действия сотрудников салонов связи. Менеджеры сотового ритейла не стесняются продавать клиентскую информацию, оказывать незаконные услуги по перевыпуску SIM-карт, продаже «красивых» номеров и т. д. Это связано с тем, что относительно свободный доступ к клиентской информации наряду с мягкостью назначаемого наказания фактически дает карт-бланш на неправомерные действия. То же самое можно сказать о сотрудниках финансово-кредитной сферы, подразделений почтовых операторов, иных организаций, связанных с обслуживанием движения денежных средств и обработкой персональных данных. По мнению аналитиков, основными причинами для «примитивных» злоупотреблений в сотовом ритейле и клиентских офисах банков являются низкая зарплата рядового персонала, информационная безграмотность и недостатки в работе служб информационной безопасности.
Около 1/3 всех случаев утечек конфиденциальной информации, рассмотренных судами, приходится на высокотехнологичные компании (ИТ, ИБ, телеком, интеграция и т.д.) . Значительную долю в судебных делах об утечках занимают нарушения в промышленных и транспортных организациях — 14,1%. Стоит отметить, что в высокотехнологичных компаниях доля дел, рассмотренных по правилам уголовного судопроизводства, составляет 96%.
Универсальными типами скомпрометированной информации для всех отраслей можно считать персональные данные и сведения, составляющие коммерческую тайну (64,6%). Они ожидаемо преобладают в распределении утечек по типу данных.
Авторы исследования отмечают, что судебная практика по делам об утечках информации складывается скорее в пользу обладателей информации, нежели наоборот. На сегодня основные проблемы вызывает несогласованность между регулятивным и охранительным законодательством. Это результат быстро развивающейся информационной среды, за которой охранительное законодательство не успевает. Причина, по которой чаще всего дела об утечках данных рассматриваются по правилам уголовного судопроизводства, кроется в особенностях двух наиболее ликвидных типов информации, подвергающихся компрометации, — это финансовая информация и персональные данные, утечка которых отражается не только на обладателях информации, но и на ее носителях, т. е. гражданах. В рамках гражданского производства рассматриваются дела, где утечка информации отражается только на обладателе информации.
По словам специалистов Экспертно-аналитического центра ГК InfoWatch, большую часть противоправных действий сотрудников в отношении конфиденциальных данных можно было бы предотвратить с помощью сочетания организационных и технических мер, включающих в себя, например, запрет мобильных устройств с фото(видео)камерой на рабочих местах, запрет применения личных (или недоверенных) облачных сервисов и личной электронной почты, а также контроль соблюдения этих правил путем применения автоматизированных средств.
