Интервью

Как избежать штрафа в 1 млн рублей по персональным данным

Закон о персональных данных существует давно, но последние годы ему уделят гораздо больше внимания. Выросли штрафы, стало больше требований, фактически все компании обязали подавать в РКН уведомления. Как защитить персональные данные от утечки, как выполнить все требования законодательства и избежать миллионного штрафа – узнаете из первых рук.
Как избежать штрафа в 1 млн рублей по персональным данным

На вопросы «Клерка» ответил Алексей Киселёв, руководитель отдела по работе с клиентами среднего и малого бизнеса «Лаборатории Касперского». 

Смотреть VK видео

Смотреть в Ютубе

Про нормативку

Поговорим на тему, которая волнует многие компании – это защита персональных данных. Закон существует уже давно, но в последнее время все больше и больше уделяется этому внимание. Штрафы растут. Количество вопросов от компаний увеличивается. Многие наши пользователи столкнулись с тем, что они не только обязаны подавать уведомления, так ещё и прилетают требования. Эта тенденция продолжится и дальше?

– Работа с персональными данными регулируется Федеральным законом № 152-ФЗ. При этом есть и дополнительные документы.

Приказ Роскомнадзора № 187, который предписывает, как должны взаимодействовать оператор персональных данных и Роскомнадзор. В случае, если произошли какие-то инциденты при работе с персональными данными, есть Приказ ФСБ России № 77, который предписывает, каким образом надо взаимодействовать оператору данных с Государственной Системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). 

Есть ещё различные нормативные акты. Например, Приказ ФСТЭК России № 21, который предписывает, какие технические меры должны быть реализованы для того, чтобы обеспечить защищённость персональных данных.

Нарастает количество требований по обеспечению безопасности персональных данных. Эта тенденция скорее всего сохранится. Сейчас обсуждается резонансный законопроект по введению оборотных штрафов. Например, для юридических лиц в случае повторных инцидентов утечки персональных данных предлагается вводить оборотный штраф 3%. Поэтому данному вопросу необходимо уделять повышенное внимание. 

Вспомните 90-е годы, выходишь из метро, стоит развал с дисками, и там то база данных абонентов такой-то компании, то база данных недвижимости по городу и и.д. Это безусловно нельзя было назвать нормальным. И сегодня радует, что люди серьёзно относятся к своим персональным данным. И когда к ним кто-то обращается, звонит, то первый вопрос, который они задают, откуда вы взяли мои данные, почему вы со мной связываетесь? На мой взгляд это правильно.

Если бизнес начинает работать с персональными данными, то он должен понимать и осознавать свою ответственность. И в первую очередь подумать, а какие персональные данные вообще нужны компании, может быть, какие-то и не стоит собирать и тем самым минимизировать риски, просто не принимать эти данные.

Про проверки и требования

– Роскомнадзор проводит реальные проверки. И если он сейчас идёт к бизнесу, то какие может сферы, отрасли подвержены этому удару, кому ждать проверки? 

Мы создаем программное обеспечение. То есть мы не можем отслеживать, насколько часто и к кому именно приходит Роскомнадзор, но мы точно можем сказать, что спрос на решения по обеспечению информационной безопасности растёт. Это касается практически всех отраслей. Естественно, озадачены этими вопросами и госорганизации.

Бизнес к этим вопросам пришёл немного позже, но сейчас таких запросов также очень много. И нам невольно приходится становиться экспертами, в том числе в законодательстве.

Например, мы создали Регуляторный хаб знаний в области кибербезопасности. Достаточно перейти по ссылке, указать свою отрасль и какие вопросы вас интересуют. Например, защита персональных данных. А мы в удобной форме покажем, какие нормативные акты регулируют вопрос, кратко приведём информацию о них. То есть понятным и доступным языком объясним требования и порекомендуем решения, которые позволят реализовать те или иные технические меры.

Этот Регуляторный хаб полезен не только специалистам по информационной безопасности, но и ответственным людям: юристам, собственникам предприятий. То есть тем, кто должен знать, какие требования к компании предъявляются, поскольку незнание закона не освобождает от ответственности.

Про персональные данные

– Что относится к персональным данным, что нужно защищать? 

В законе сформулировано достаточно общее определение, что к персональным данным относится любая информация, которая прямо или косвенно определяет или позволяет определить то или иное лицо.

Существует сложившаяся судебная практика, исходя из которой можно говорить о том, что к персональным данным обязательно относится: фамилия, имя, отчество, номер телефона, паспортные данные.

Кроме того, к ним относятся данные водительского удостоверения, биометрические данные, такие как отпечатки пальцев, радужная оболочка глаз, а также данные по социальному статусу, доходам.

Много бывает спорных вопросов, например, номер телефона, относится он к персональным данным или нет? По сложившейся судебной практике где-то, да, особенно в совокупности, если ФИО и номер телефона. Просто номер телефона – не факт, но может быть.

У меня был пример: фитнес-клуб злоупотребил, присылая мне смс со своими предложениями. Я в итоге приехал туда, показал им смску, в которой они обращаются ко мне по имени и сказал, что имя и номер телефона в сочетании – это персональные данные. Если я ещё раз получу от них подобную смску, то я напишу жалобу в Роскомнадзор, и они получат себе проверку. И оставил у них заявление на отзыв персональных данных. Помогло, смски приходить перестали.

Поскольку не всегда можно точно сказать, что конкретно попадает под персональные данные, то  компаниям, занимаясь их сбором и обработкой, важно сохранять здравый смысл и понимать, что именно пользователю может не понравится.

Про организацию защиты данных в компании

– Какие наиболее частые нарушения встречаются, исходя из имеющейся практики, за что могут бизнес наказать? 

Частое нарушение – это игнорирование требований закона 152-ФЗ, то есть просто незнание закона и неисполнение его требований. Например, с 2022 года все организации обязаны подавать данные о начале обработки персданных, поэтому каждому бизнесу нужно уведомлять Роскомнадзор. Если вы открываете, допустим, интернет-площадку и просите там оставить ФИО, год рождения, номер телефона, а не просто e-mail, то, соответственно, вы уже собираете персональные данные и должны уведомить Роскомнадзор.

А дальше, если вы собираете эти персональные данные, то на вас накладывается ещё ряд требований по организационным мерам, по техническим мерам, которые необходимо реализовать для того, чтобы эти данные были действительно защищены. 

Давайте по этим пунктам пойдём подробнее: организационные и технические моменты. Значит, первое, мы подаём уведомление. А далее компания или ИП, должна какой-то перечень мероприятий провести. Каких?

Прежде всего, надо понять, с какими данными вы планируете работать, какую именно информацию вы будете собирать, к каким персональным данным это относится, будут ли это общие персональные данные, специальные, биометрические, персональные данные или иные. Соответственно, в зависимости от этого надо ознакомиться с законом.

Прежде всего организационные меры – это допуск к обработке персональных данных ограниченного круга лиц. Он должен быть оформлен соответствующим приказом. Ответственные лица должны быть ознакомлены с этим приказом под роспись.  

Это также поможет организации в случае каких-то инцидентов сузить круг возможных источников утечек и повысит уровень ответственности тех лиц, которые работают с персональными данными. 

Следующая, неочевидная мера – это помещение, в котором проводится обработка персональных данных. В него тоже должен иметь доступ только ограниченный круг лиц. Ну и далее то, о чем мы говорили, уведомить Роскомнадзор надлежащим образом о том, что вы планируете приступить к сбору персональных данных. И тут, повторюсь, важно понять, какие персональные данные вам нужны? Правда ли вы хотите собирать информацию о вероисповедании или чем-то ещё, что будет относиться уже к специальным персональным данным, или вам нужны какие-то биометрические данные? Лучше собирать тот минимум, который вам действительно необходим.

Про технические аспекты

Дальше переходим к техническим аспектам. Здесь все может варьироваться в зависимости от вида деятельности, бюджета, типа персональных данных, имеющейся инфраструктуры. Это может быть один компьютер и один набор решений. Это может быть парк из 1 500 компьютеров, сложная дифференцированная сетьи, филиальная структура, многочисленные каналы связи, и в этом случае будут совсем другие технические меры. 

Но в любом случае для каждой организации важно на тех рабочих местах, где располагаются информационные системы по обработке персональных данных, использовать специальные технические решения. Прежде всего, это, конечно же, решение для защиты конечных точек — в простонародье антивирус.

Если на этом компьютере будет использоваться электронная почта, то необходимо использовать средства по защите почтовых серверов, потому что это первый из векторов, через которые злоумышленники пытаются атаковать. Если пользователь на этом компьютере по рабочим обязанностям должен выходить в интернет и может попасть на фишинговый сайте, необходимо использовать решение по защите веб-трафика и т. д.

И чем крупнее компания, если в ней, допустим, уже более 250 компьютеров, то нужно защищаться не только от массовых, но и сложных угроз, которые более трудны в реализации и гораздо более опасны. Нужны уже средства по борьбе с этими угрозами, например, использование SIEM-систем, которые позволяют собирать события информационной безопасности, анализировать, и на их основе принимать дополнительные меры по защите данных, которые хранятся в компьютерной сети.

Ну и нет дальше там предела совершенству, вплоть до использования полноценных XDR-платформ, которые включает в себя полный комплекс средств по обеспечению информационной безопасности, которые могут вооружить квалифицированный большой отдел специалистов по информационной безопасности всеобъемлющим инструментарием.

Про человеческий фактор в бизнесе

–  Допустим, у меня компания. Пакет документов, приказы, положения я создала. Поставила программы, но со всем этим работают люди. Человеческий фактор – тут может быть утечка и все что угодно. Есть какие-то приказы, регламенты, может быть готовый универсальный документ? Что делать с людьми?

Безусловно, да, самое уязвимое звено – это человек.

Регламенты уже неоднократно много кем были разработаны, и наверняка есть подходящие под вас под вашу организацию пакеты документов. Поэтому имеет смысл обращаться в компании, которые специализируются на вопросах информационной безопасности, которые помогут в подготовке такого пакета документов, порекомендуют решение исходя из вашей конкретной инфраструктуры.

Можно все это сделать и самостоятельно. Например, с помощью того же нашего Регуляторного хаба ознакомиться с требованиями закона. Они не так сложны и,можно разработать все необходимые документы своими силами.

При этом нигде законодательные требования по обучению персонала информационной безопасности не прописаны. Но тем не менее, в нормативных актах прописаны регламенты, которые должны быть, согласно которым люди должны работать. 

Человек, работающий за компьютером, на котором хранится база с персональными данными, должен обладать всеми навыками, чтобы распознать фишинговое письмо, признаки атаки. А если он увидел рядом со своим рабочим местом какую-то флешку, он не должен хватать её и втыкать в свой компьютер, а прежде всего подумать: что за флешка, откуда она взялась, а вдруг на ней какой-то вирус записан и так далее. То есть человек должен быть подготовлен. Поэтому обучать людей, допущенных к работе с персональными данными, навыкам кибербезопасной работы, я считаю необходимым. И даже обучать остальной персонал, поскольку угрозы рядом. Любой сотрудник может оказаться на ненужном сайте, нажать на ненужную ссылку и дальше последствия могут там развиваться очень стремительно: зашифровался его компьютер, соседний, все компьютеры в компании. 

Бывает, что злоумышленники сначала воруют данные, скачивают к себе, а потом уже вся инфраструктура шифруется и приходит письмо с требованиями оплаты. Компания платит эти деньги, расшифровала данные, а следом приходит новое письмо:

«Сообщаем вам, что данные ваших компьютеров были похищены, и мы их сейчас опубликуем, или заплатите нам в 2 раза больше». 

Это так называемый доксинг, повторные требования, и это все сценарии из реальной жизни.

Поэтому все правила, в том числе правила, прописанные в законодательстве, они все написаны по реальным инцидентам, поэтому обучать людей надо. У нас есть обучающая платформа Kaspersky ASAP, которая позволяет обучать людей и прививать им навыки кибербезопасной работы.

Сейчас есть возможность бесплатно использовать решение на ограниченном количестве пользователей. Например, 5 пользователей обучить бесплатно в течение 2 месяцев. И я вам рекомендую зарегистрироваться на этой платформе и обучить,как минимум, тех людей, которые у вас допущены к обработке персональных данных. А затем оценить результаты, возможно появится желание пройти обучение самому и обучить других сотрудников. 

– Вы коснулись конкретных примеров, когда происходят вот такие инциденты. Человеческий фактор условно можно разделить на 2 категории: преднамеренные действия, когда сливают базу, и ошибки непреднамеренные. Давайте выделим часто встречающиеся ошибки, которые люди совершают.

Вот одна из типовых ошибок: когда пользователи, допущенные к работе с персональными данными, используют компьютер для внеслужебных целей. Например, чтобы открыть свою частную почту. Они увидели письмо там от какого-то родственника из Нигерии, о котором они не знали, который скоропостижно скончался и оставил 2 000 000 $. И все, что нужно, перейти по ссылке и подтвердить своё право на эти деньги. Они переходят по этой ссылке и получают троян на свой компьютер. 

Дальше этот троян занимается тем, что разворачивает зловредное ПО и злоумышленники начинают данные потихонечку выкачивать, а потом ещё и шифруют компьютеры. А всего-то надо запретить человеку использовать рабочий компьютер для  частной переписки. Также человек может просто серфить в интернете, заходить в социальные сети и оттуда перейти по какой-то ссылке или попасть на зловредный сайт.

Еще бывает, что пользователи используют свой рабочий e-mail для регистрации в интернет-магазине или каком-то сайте, а потом на почту начинают приходить письма, среди которых может оказаться  фишинговое письмо. Этот e-mail оказывается засвечен в интернете и с высокой долей вероятности попадёт во всевозможные базы и будет использоваться злоумышленниками.

Ещё одна ошибка пользователей – использование простых паролей. Допустим, пароль 111, с таким паролем почту взломать несложно. А дальше уже, если злоумышленники попали в вашу почту, то они от вашего имени могут начать писать клиентам или подделывать документы. Например, выставить счёт клиенту с банковскими реквизитами злоумышленников. Клиент начнёт платить, но деньги будут приходить не в вашу организацию, а злоумышленникам.

Про защиту личных данных

–  Это ситуации, которые касаются бизнеса. А теперь коснемся человека, когда я, обычный пользователь интернета, получаю письма. Я регистрируюсь на разных сайтах, и когда регистрируюсь, ставлю галочку, что я даю согласие на обработку персональных данных, уже нараздавала их в миллионном количестве. Могу я где-то вообще посмотреть? А кто сейчас владеет, пользуется моими персональными данными как физического лица, есть какой-то инструмент?

– Надеюсь, такой единый ресурс когда-нибудь появится. Но сейчас как минимум, вы можете, зайти в свои Госуслуги и посмотреть, какие разрешения вы выдавали, например, авторизовались на какой-то странице с помощью пароля Госуслуг. И тем самым через Госуслуги вы предоставили свои персональные данные. Вы их можете отозвать:  в Госуслугах заходите в поисковый помощник, ищете «Отозвать разрешение на использование персональных данных». Вам откроется ресурс, где вы сможете увидеть разрешения, которые вы выдавали, как правило, там будут разрешения на банки, с которыми вы так или иначе взаимодействовали или регистрировались и так далее.

И дальше, не указывая причин, не оправдываясь, вы можете отозвать те разрешения, которые вам не нравятся или больше не нужны. В том числе можете отозвать разрешение на использование биометрических данных. 

Вот, поэтому как минимум через Госуслуги частично это можно сделать. Ну, а в других случаях, пример, который я приводил про фитнес-клуб. Я ранее узнавал у них про какую-то акцию и, видимо, где-то действительно подписался – разрешил предоставить свои персданные. Я приехал, написал заявление, что отзываю свои персональные данные, и предупредил, что при повторном использовании моих данных, если я ещё одну смску получу, то копия заявления с жалобой уйдёт в Роскомнадзор, и это сработало. 

Выдачу прав на использование персональных данных лучше делать тем же способом, которым вы давали это разрешение. Если вы его давали в электронном виде, попробуйте посмотреть есть ли возможность на самом сайте данные отозвать, если нет, можно написать электронное письмо или приехать лично.

– Допустим, я предупредила, что при повторном использовании моих персональных данных будет жалоба в Роскомнадзор. А если такое произойдет, будет проверка?

Количество организаций огромное, у Роскомнадзора работы хватает. Но если есть жалобы, он обязан их отработать и будет отрабатывать. 

– Я имею свои аккаунты в социальных сетях. У меня там моя фотография, фамилия, имя, возможно, где-то высвечивается мой электронный ящик, вот это персональные данные? Могут ли такие открытые данные использоваться компаниями без ограничения?

Нужно читать лицензионное соглашение по использованию этой социальной сети. Скорее всего, там будет прописано, что вся информация, которую вы выкладываете о себе, может быть использована без ограничений, публично, потому что вы её опубликовали сами, без принуждения.

Может быть много нюансов.

Фотографию, которую вы выложили, можно ещё как объект искусства оценить, авторское право. Может вы нарисовали какой-то компьютерный шедевр и не хотите, чтобы его кто-то использовал, поэтому надо смотреть, конечно, в условия. Но вы должны быть готовы, что данные, которые вы выкладываете могут оказаться в публичном доступе, устраивает вас это или нет. Если нет, то тогда лучше этого не делать. 

Про заграницу

– У нас в России контроль усиливается. А как обстоят дела за границей?

В Европейском союзе подобной проблемой озадачились чуть раньше, и там уже давно есть профильное законодательство – General Data Protection Regulation (GDRP). 

Это закон, который прописывает чёткие основания, когда компаниями могут быть использованы персональные данные, для каких целей они могут быть использованы и ответственность компаний за некорректную работу с персональными данными, за утечку персональных данных, использование не по назначению и т.д. 

Законодательство очень строгое и жёсткое. Штрафы там очень серьёзные. Они могут достигать 20 000 000 € или 4% от оборота. То есть у них вот обороты уже введены. Если допустить утечку персональных данных, то это может закончиться реальным разорением. 

Попытка скрыть утечку персональных данных тоже  будет нарушением GDPR-законодательства. И будут серьёзные последствия. Эта тенденция, конечно, актуальна для всего мира, и мы движемся в том же направлении.

Про специалиста для защиты данных компании

– Ну вот со стороны компании я сталкиваюсь с такой ситуацией, что многие, коснувшись этого законодательства, поняв, что комплекс огромный, что надо делать, да, просто в ужасе поднимают руки. Некоторые вообще говорят, так, всё, и не лезут в эту историю, а многие понимают, что самостоятельно они справятся с этим не могут. Есть оргмеры, и техника, и люди, возникает необходимость в специалистах по защите персональных данных. Нужно или к себе в штат или брать на аутсорсе? И если я беру такого специалиста, как убедиться, что он компетентен, и он сможет защитить мою компанию?

На самом деле в идеале компании нужен специалист по информационной безопасности, который одинаково хорошо ориентировался бы и в требованиях законодательства, и в реализации, и организационных, и технических мерах, в том числе написание различной регламентирующей документации. То есть, чтобы закрыть вопросы и бумажной безопасности, и реальной безопасности. Есть потребность и дефицит таких специалистов. Такие кадры безусловно существуют, но, наверно, такой специалист не всегда соответствует бюджету организации.

Как взять специалиста, который действительно эти вопросы закроет? Если нанимаете сами специалиста, посмотрите, насколько он уверенно отвечает на собеседовании, спросите его, какой уровень защищённости должен быть предусмотрен для персональных данных вашей организации. Какие  организационные и технические требования предъявляются к данному уровню, как эти требования могут быть реализованы. Человек не должен замыкаться только на знании технических решений, но и должен уметь их проецировать на требования законодательства.

Проверить ответы, знание нормативно-правовой базы,  можно с помощью нашего Регуляторного хаба. А также посмотреть какие решения «Лаборатории Касперского» рекомендуют для реализации тех или иных технических требований. 

Существуют и внешние организации, которые позволяют закрывать, в том числе вопросы информационной безопасности.

У «Лаборатории Касперского» есть решение по «управляемой защите» Managed Detection and Response, который подразумевает передачу специалистам «Лаборатории Касперского» функций по мониторингу киберугроз. Анализируя данные о событиях безопасности со источников заказчика, эксперты нашего SOC (Security Operations Center) также дают рекомендации по реагированию. Это бывает полезно, когда в отделе ИБ организации небольшое количество людей или пока нет достаточной экспертизы для новых вызовов. Либо в моменты важных трансформаций, например, масштабного перехода с иностранных решений на отечественные, с чем многим действительно пришлось столкнуться в последние годы.

Таким образом, есть и различные дополнительные сервисы, которые могут значительно усилить вашего специалиста.

Полезные советы

Подведем итоги и вынесем рецепт из нашего разговора. Как действовать компании, чтобы к ней не возникало претензий у госорганов, а данные были под защитой:

  1. Не боимся защиты персональных данных. Проверяем требования к компании по Регуляторному хабу и выбираем подходящее техническое решение для защиты информации.

  2. На основе нормативных актов создаем внутренние документы.

  3. Не игнорируем требования закона. Незнание закона не освобождает от ответственности, помним о штрафе в 1 000 000 рублей.

  4. Обучаем сотрудников основам инфобезопасности, чтобы предотвратить ошибки и снизить риск человеческого фактора.

Работайте с персональными данными корректно! А компетентно решить ваши злободневные вопросы информационной безопасности поможет Лаборатория Касперского

Реклама: АО «Лаборатория Касперского», ИНН 7713140469, erid LjN8KcYg3.

Комментарии

1