Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 17-18 июня на Форуме ITSEC 2025
Регистрируйтесь и участвуйте!

Роскомнадзор: бизнесу стоит сообщить о произошедших утечках данных до 30 мая

23/04/25

Роскомнадзор4

Меры ответственности за утечки персональных данных, информацию о которых уполномоченные органы получат до 30 мая, будут применяться по нормам действующего законодательства, то есть без штрафов за неуведомление Роскомнадзора и оборотных штрафов. Если же о компрометации данных станет известно уже после этой даты, то в силу вступят более жесткие нормы регулирования, и ответственность за инциденты будет уже согласно этим нормам. Это подчеркнул заместитель руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Милош Вагнер на пресс-конференции «Утечки данных как социально-экономическая проблема», организованной ГК InfoWatch и Ассоциацией по вопросам защиты информации (BISA). На встрече эксперты обсудили новое регулирование в области ПДн, положение дел с утечками информации из российских компаний и социальный аспект таких инцидентов.

Сообщение об утечках: почему важно успеть

Главной темой встречи стало новое регулирование в области персональных данных, которое предполагают на сегодняшний день два федеральных закона. Первый из них, №421-ФЗ от 30.11.2024 «О внесении изменений в Уголовный кодекс Российской Федерации», предусматривает ответственность за получение персональных данных без законных оснований и за неправомерный доступ к ним. Федеральный закон № 420-ФЗ от 30.11.2024 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», ужесточает ответственность за нарушение при обработке и хранении ПДн, вводит новые формы штрафов, составы правонарушений и вместе с этим предусматривает новые способы уменьшения размеров ответственности. Уголовная ответственность за незаконное использование персональных данных действует уже с 11 декабря 2024 года, а штрафы за допущение утечек данных, нарушение обработки ПДн и отсутствие уведомления Роскомнадзора о факте утечки будут применяться с 30 мая 2025 года.

Комментируя последние законодательные изменения в области защиты персональных данных, заместитель руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Милош Вагнер напомнил, что датой правонарушения, связанного с утечкой персональных данных, будет считаться дата, когда было подтверждено раскрытие данных неограниченному кругу лиц. Таким подтверждением может быть, например, опубликование базы данных злоумышленником либо получение уведомления от самого оператора, допустившего утечку данных. Таким образом, если оператору сегодня уже достоверно известно, что данные скомпрометированы, ему стоит направить уведомление об этом в Роскомнадзор, не дожидаясь публикации данных злоумышленниками после 30 мая. Кроме того, после вступления в силу новой редакции КоАП не только сам факт, но и неуведомление Роскомнадзора об утечке персональных данных также будет рассматриваться как правонарушение.

«Поэтому у компаний до 30 мая есть время, чтобы проинформировать уполномоченные органы о произошедших ранее инцидентах. И тогда, соответственно, к ним будут применяться меры ответственности, предусмотренные действующим сегодня законодательством», – обратил внимание Милош Вагнер.

Старший юрист практики интеллектуальной собственности и технологий Denuo Михаил Шолохов отметил нюансы нового регулирования, которые важно учитывать представителям бизнеса. «Практически любая компания сегодня является оператором ПДн, и новые нормы, включая штрафы, могут применяться ко всем операторам, исключения не предусмотрены.  Особый риск представляют взыскания за компрометацию специальных категорий ПДн и биометрических данных – лучше минимизировать их хранение, потому что даже утечки одной записи достаточно для очень существенных штрафов. Также важна работа над бизнес-процессами, над осведомленностью персонала о процессе обработки персональных данных. Мы видим, что основная причина утечек – это человеческий фактор, поэтому работа с сотрудниками, обучение и разъяснение могут заметно снизить риски штрафов», - отметил Михаил Шолохов.

Ключевой вопрос – осознание проблемы и ее масштабов

Подготовка к изменениям в законодательстве, которые вступают в силу с 30 мая, для бизнеса достаточно трудоемкая, отметила модератор дискуссии, президент ГК InfoWatch и председатель правления АРПП «Отечественный софт» Наталья Касперская. Она поделилась результатами опроса представителей российских компаний, который провели ГК InfoWatch и Ассоциация BISA, чтобы выяснить готовность бизнеса к изменениям в законодательстве и ужесточению ответственности за утечки. По данным опроса, 58% респондентов принимают организационные меры и готовятся к проверкам. С другой стороны, 28% опрошенных компаний бездействуют или не считают эти изменения чем-то важным. При этом 53% респондентов планируют или уже приняли необходимые меры, но уверенности в том, что они все предусмотрели, у них, тем не менее, нет.

«На вопрос о том, чего вам не хватает для улучшения защиты персональных данных в вашей организации, респонденты назвали не финансовую поддержку, не технические средства или какие-то другие материальные ресурсы – почти половина опрошенных (45%) отметили отсутствие понимания руководства и сотрудников. Это говорит о том, что проблема утечек персональных данных – это вопрос осознания проблемы руководством и внутри организации, понимания того, что защита данных – это задача всей компании, а не только службы безопасности», – подчеркнула Наталья Касперская.

Оценить подлинные масштабы проблемы и осознать риски утечек данных российскому бизнесу только предстоит, отмечает Михаил Смирнов, эксперт и главный редактор Ассоциации по вопросам защиты информации (BISA). Согласно подсчетам информационно-аналитического центра (ЭАЦ) InfoWatch на базе исследования группы ЦИРКОН, 26% компаний считают проблему утечек данных несущественной, но при этом сотрудники 25% предприятий подтвердили, что за последние три года в их организации происходили утечки данных, и чаще всего их было две и больше.

«Замечу, что на сегодняшний день только в 35% российских компаний сформированы методики оценки ущерба от утечек данных. Это означает, что масштабы проблемы по-настоящему еще не осознаны и весьма недооценены. Между тем, объем скомпрометированных персональных данных демонстрирует угрожающую динамику – в 2024 году из российских компаний утекло более 1,5 млрд записей ПДн, рост более чем на 30% год к году, согласно подсчетам ЭАЦ InfoWatch», – говорит Михаил Смирнов.

Технический директор компании F6 Никита Кислицын привел статистику по утечкам баз данных в первом квартале 2025 года. Аналитики департамента киберразведки компании F6 зафиксировали 67 новых случаев утечек баз данных, впервые появившихся в открытом доступе – в Telegram-чатах и на теневых форумах. За этот же период в 2024 году таких утечек было 95. Как и раньше, большинство похищенных баз данных выкладываются в публичный доступ, в основном в Telegram-каналах, для нанесения наибольшего ущерба компаниям и их клиентам, отмечают в F6.

«Утечки баз данных остаются одной из главных киберугроз для российского бизнеса — количество бесплатных публикаций росло последние три года. Тем не менее, начиная с января 2025 года мы фиксируем активные блокировки закрытых Telegram-чатов, которые распространяли утекшие базы. В итоге количество новых утечек в первом квартале этого года сократилось почти на 30%. По нашим данным, администрация Telegram начала жестче блокировать чаты и каналы за нелегальный контент, спам и подозрительную активность. Это не победа, но важный сдерживающий фактор», – отмечает Никита Кислицын.

Утечки данных – первопричина мошенничества

По данным ЭАЦ InfoWatch, именно ПДн остаются самым востребованным типом данных на черном рынке. Примечательно, что в 2024 году почти треть (29%) из всех попавших в даркнет персональных данных – это аутентификационная информация пользователей: пароли и логины, в том числе номера мобильных телефонов, адреса электронной почты. В дальнейшем эта информация становится базой для самых разных видов мошенничества в отношении граждан.

«Утечки персональных данных – это проблема, которая затрагивает не только бизнес, но и всех без исключения жителей нашей страны. Важно понимать, что именно утечки становятся первопричиной мошенничества, той почвой, на которой растут бесконечные звонки от фейковых служб безопасности и сотрудников правоохранительных органов. По оценкам крупнейших банков, в прошлом году граждане потеряли из-за телефонного мошенничества до 295 млрд руб., это колоссальные масштабы ущерба. Снизить его помогут только совместные усилия регуляторов и бизнеса, направленные на работающую и эффективную защиту данных», – подчеркнула Наталья Касперская.

 

Темы:ЗаконодательствоРоскомнадзорПресс-релизInfowatchОтрасль
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 18 июня 2025 →
Статьи по темеСтатьи по теме

  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.
  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.
  • Защита персональных данных по контексту передачи или по содержанию? Инновационное решение InfoWatch Traffic Monitor
    Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor
    Ложноположительные срабатывания в работе DLP всегда являются серьезной угрозой эффективности. Частично снизить их уровень можно за счет корректной настройки системы, но иногда ложные срабатывания – следствие использования в DLP алгоритмов, не подходящих для решения требуемых бизнес-задач. Такие случаи стали драйвером для внедрения в систему InfoWatch Traffic Monitor принципиально нового подхода к определению утечек.
  • О необходимости типизации российских многофункциональных межсетевых экранов
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    Об особенностях разработки российских решений, соответствующих требованиям ФСТЭК России по типу ММЭ уровня сети, а также о возможностях и сценариях их использования.
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП
  • Атакующий дебют: разбор неразмеченных событий в DLP
    ИИ, машинное обучение и когнитивные технологии для автоматизации работы с большими данными – это не хайп, а реальный инструмент для анализа и классификации большого объема информации, выявления непостижимых для человеческого мозга связей и закономерностей.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 17-18 июня →
Свежие новостиСвежие новости

Еще темы...

More...