Кто платит штрафы и какое наказание предусмотрено за утечку данных на Западе и у нас? Какие последствия ждут руководителя компании , которая допускает ошибки в контроле информационной безопасности?
Сравнение и аналитика
Комитет по информационной безопасности Казахстана регулярно проводит внеплановые проверки, чтобы выявить несоответствие в деятельности организаций требованиям информационной безопасности. Обратите внимание, насколько все серьёзно и как активно растёт количество инцидентов в этой сфере с каждым годом.
Что необходимо сделать каждой компании, чтобы соблюдать законодательство о защите персональных данных и других разделов ИБ:
- назначить лицо, ответственное за полный контроль всей отрасли на предприятии;
- согласовать список персональных данных, которые будет собирать компания для ведения деятельности;
- разработать регламенты по другим компонентам информационной безопасности в зависимости от специфики бизнеса;
- соблюдать бизнес-процессы, связанные с ИБ, и регулярно проводить внутренние проверки;
- вести и своевременно обновлять документацию в сфере информационной безопасности;
- своевременно вносить изменения по результатам самостоятельно выявленных проблем или по предписанию контролирующих органов.
За нарушения правил ИБ отвечают руководитель компании и назначенный сотрудник. С 2022-го по 2023 год в Казахстане проведено 56 внеплановых проверок и рассмотрено 157 административных дел. В результате по статье 641 КоАП РК к административной ответственности привлечены 130 должностных лиц и 17 юридических лиц.
За 2024 год Комитетом ИБ РК было проведено 26 внеплановых проверок, в результате которых были назначены штрафы 11 должностным лицам на сумму ₸304 590 и 7 юридическим лицам на сумму ₸1 006 070. Общая сумма наказания составила ₸1 310 660.
Если говорить не о внеплановых проверках, а о громких делах, то в марте 2024 года была обнаружена утечка персональных данных более 2 млн пользователей микрофинансовой организации zaimer.kz. Компанию привлекли к административной ответственности и обязали выплатить штраф в размере ₸1 846 000.
Отрасли, которые больше всего подвержены проблемам внешних атак в мировой практике, таковы:
- государственные учреждения – 15% успешных атак на 2023 год, связано с геополитической обстановкой в мире;
- организации здравоохранения – 11% успешных атак, высокий интерес со стороны взломщиков связан с тем, что базы медучреждений содержат большие объёмы информации;
- сфера науки и образования – 10%, эти организации также используют крупные пласты персональных данных, что привлекает мошенников.
В мае 2023 года в американском штате Мэн в результате утечки данных была скомпрометирована информация о 1,3 млн человек. Злоумышленники взломали систему передачи файлов, в которой хранились данные о жителях штата. Когда произошел инцидент, правительство региона предоставило пострадавшим доступ к регулярному кредитному мониторингу.
Согласно законодательству штата Мэн, если организация обнаружила утечку данных, она должна немедленно уведомить о произошедшем пострадавших лиц. За правонарушения в области ИБ должностным лицам могут начислить штраф в размере до $500.
В Европе также предусмотрены крупные штрафы за несоблюдение основ ИБ. Так, одну из нидерландских организаций оштрафовали на €725 000 за сбор биометрических данных сотрудников без наличия согласий каждого работника.
Если смотреть общим планом, в целом на Западе логика наказаний за нарушение норм ИБ продумана несколько лучше, чем у нас. При этом именно на Западе есть проблема имени Джо Салливана, бывшего руководителя службы безопасности Uber, которого обвинили в сокрытии кибератаки.
Сложность в том, что первые лица находятся между двух огней. Если озвучить вслух детали происшествия, получишь иск от работодателя, не сообщить – уголовное преследование. В Казахстане пока за это грозит штраф и увольнение, а судебные разбирательства возникают при очень серьёзных инцидентах.
Хочу предупредить всех читателей, что ответственность за информационную безопасность компании несёт в первую очередь руководитель, и только потом – назначенное лицо и другие сотрудники.
Если компания не хочет столкнуться с административной ответственностью и крупными штрафами, потерей репутации и судебными разбирательствами, нужно заранее позаботиться об ИБ. Сегодня эта проблема касается практически каждого бизнеса.
Евгений ПИТОЛИН, независимый эксперт в области кибербезопасности, ИТ и маркетинга