Лишь 40% нарушителей привлекают к ответственности
Экспертно-аналитический центр группы компаний InfoWatch продолжает исследование судебных дел о нарушениях, связанных с защитой информации. Предыдущие исследования судебной практики касались итогов 2019 г. и 2020 г. Базой для исследования стали административные дела, связанные с нарушениями при обработке и обеспечении безопасности персональных данных, а также с нарушениями правил и незаконной деятельностью в области защиты информации, разглашением информации ограниченного доступа.
Для подготовки отчета использовано 372 записи из ГАС "Правосудие", относящиеся к правоприменительной практике по статьям КоАП 13.11 (Нарушение законодательства Российской Федерации в области персональных данных) и 13.14 (Разглашение информации с ограниченным доступом), касающиеся в общей сложности 104 нарушений в сфере защиты информации. Более чем в половине случаев (56%) ответчиками были частные лица, 28% эпизодов связаны с работой автоматизированных систем, а 7% касались неправомерного доступа к персональным данным. 99% дел рассматривались в региональных судах. При этом в 43% исков истцам отказано в возбуждении дел.
Согласно статистике Судебного департамента, в первой половине 2021 г. рассмотрено 386 дел, из которых 31 дело перешло с 2020 г., а 355 дел поступили в 2021 г. Снижение по сравнению с аналогичным периодом 2020 г. составило 26%. В 2020 г. снижение по сравнению с 2019 г. было более значительным, составив 43%.
Наибольшее количество записей в ГАС "Правосудие" - 336 - относятся к ст.13.11 КоАП. По ст.13.14 аналитики InfoWatch обнаружили 36 записей. Но при этом у существенной части записей отсутствуют судебные акты, и установить суть нарушения, которое послужило причиной возбуждения дела, невозможно.
Значительная часть дел по ст.13.11 ч.1 связана с нарушениями при работе с бумажными носителями информации: "Например, хранение избыточной информации в личных делах или использование ксерокопии паспорта другого человека для получения кредитов. Одно из таких дел рассмотрено в районном суде в Архангельской области: ответчица в период с 10 января 2020 г. по 1 апреля 2021 г. использовала фотокопию паспорта гражданки РФ для оформления кредитов в микрофинансовых организациях на ее имя. За это правонарушение ответчице назначено наказание в виде административного штрафа в размере 2000 руб.". По ст.13.11 ч.1 только 22% дел связаны с нарушениями при автоматизированной обработке информации, содержащей персональные данные. Также в отчете обращается внимание, что лишь 40% обращений заканчиваются наказанием нарушителей, в остальных случаях происходит отказ.
Основная масса заявителей, 97%, являются физическими лицами. На юридических лиц приходится лишь 3%. Вместе с тем обращается внимание на то обстоятельство, что в 22% случаев инициатором возбуждения дела является Роскомнадзор, который обнаруживает те или иные нарушения в ходе проверок. "Примером возбужденного надзорным органом - Роскомнадзором дела является дело о факте хранения в МФЦ в Ненецком автономном округе обрабатываемых персональных данных работников в превышающем установленный п.2 ст.86 ТК РФ объеме. Ответчику - МФЦ назначен административный штраф в размере 60 тыс. руб.", - этот пример авторы отчета сочли типичным для такой ситуации.
Самый крупный штраф по ст.13.11 ч.1 составил 70 тыс. руб. Он назначен за передачу одной компанией другой персональных данных лица без его согласия. Но при этом авторы исследования не увидели корреляции между тяжестью проступка и наказанием. За куда более серьезный проступок, связанный с оформлением кредитов в микрофинансовой организации по копии паспорта, назначен штраф всего в 2000 руб. По мнению авторов исследования, данная ситуация требует существенной доработки нормативной базы.
В целом повышение ответственности для виновников утечек данных поддерживают многие компании, специализирующиеся на продуктах борьбы с утечками данных. "Повышение штрафов, введение реальной ответственности за утечку информации - это разумная мера, которая должна поспособствовать сокращению числа утечек. Ведь одновременно это уменьшит долю инсайдеров, готовых на кражу информации, и повысит заинтересованность компаний в обеспечении безопасности данных", - считает руководитель аналитического центра компании Zecurion Владимир Ульянов.
По ст.13.14 38% дел связаны с использованием средств автоматизации. Практически всем нарушителям назначен штраф в 4000 руб. Наиболее типичным нарушением стало размещение паспортов безопасности различных учреждений, как правило учебных заведений, в интернете.
Также авторы обращают внимание, что в России пока не сложилась общепринятая практика официальных заявлений от компаний о произошедших утечках. Соответственно, о них редко становится известно пострадавшим от них лицам, как физическим, так и юридическим. Основная масса обращений в надзорные органы и суды чаще относится к нарушениям, совершенным другими физическими лицами, которые выкладывают что-то в соцсетях, пересылают в мессенджерах, размещают на сайтах.
С другой стороны, именно физические лица являются виновниками утечек. "Утечки чаще всего происходят по вине собственных сотрудников компаний, которые уже имеют доступ к конфиденциальным данным и могут их выносить из организации, используя флешки, почту, мессенджеры и другие электронные каналы коммуникаций. Утечки часто происходят из коммерческих - банки, розничная торговля, HoReCa и др. - и государственных организаций без жесткой привязки к географии, то есть случаются в разных странах", - уверен Владимир Ульянов.
В изменившихся условиях цена утечек персональных данных существенно растет. "В нынешних условиях утекшие персональные данные могут использоваться для целевого мошенничества - например, для адресных рассылок с призывами сбора средств якобы от имени различных официальных организаций. А также для дезинформации населения и психологического давления - уже появились примеры обзвона граждан с целью побудить их обменивать рубли на валюту, адресные рассылки с предложениями нелегального приобретения иностранных денежных средств и т.п. В этой ситуации работа российских организаций над усилением защиты от внутренних угроз кибербезопасности - случайных и умышленных утечек, внутреннего мошенничества, - повышение киберграмотности сотрудников и т.п., без преувеличения, имеет национальную значимость", - подчеркнул Алексей Кубарев, руководитель группы развития бизнеса центра продуктов Dozor компании "Ростелеком-Солар".
"Персональные данные очень востребованы. Чем больше сведений имеет мошенник о потенциальной жертве, чем лучше ее знает, тем легче ему ввести в заблуждение и заставить выдать нужную информацию, например код из СМС для подтверждения операции, или совершить действие - перевод денег. Поэтому полные, достоверные и актуальные сведения о потенциальных жертвах, их счетах интересны злоумышленникам", - уверен Владимир Ульянов.