"Гемотест" оштрафовали ниже максимального порога

Мировой судебный участок района Новогиреево в Москве оштрафовал компанию "Гемотест" за утечку 300 гигабайт данных с персональной информацией о клиентах. Размер штрафа составил 60 тыс. руб., что ниже максимального порога наказания за подобного рода нарушения. Об инциденте сообщил 3 мая телеграм-канал "Утечки информации".

https://www.comnews.ru/content/220146/2022-05-11/2022-w19/medicinskie-utechki-kolossalnogo-masshtaba

Представители Роскомнадзора заявили в суде об утечке "более 300 гигабайт информации с персональными данными клиентов". Точное количество пострадавших не называлось, но утечка затронула миллионы клиентов сети медлабораторий.

Как отметил советник президента РФ, председатель Совета при президенте РФ по развитию гражданского общества и правам человека Валерий Фадеев на пресс-конференции "Защита персональных данных россиян: достижения и проблемы", данный инцидент является одним из наиболее вопиющих случаев утечек данных в России, как по масштабам, так и по чувствительности разглашенной информации: "Утечки продолжаются. Самый яркий скандал за последнее время - утечка биологических данных известной клиники, включая ВИЧ-анализы".

https://www.comnews.ru/content/221294/2022-07-21/2022-w29/vinovnikov-ut…

Владелец бизнес-школы Katkov.School, член Ассоциации юристов России Павел Катков также считает утечки медицинских данных, в отличие, например, от образовательных, крайне серьезным инцидентом.

В ходе суда ООО "Лаборатория Гемотест" признано виновным в совершении административного правонарушения, предусмотренного ч.1 ст.13.11 Кодекса РФ об административных правонарушениях. Представители "Гемотеста" признали факт утечки, однако заявили об отсутствии вины вследствие отсутствия умысла. Защита заявила, что будет оспаривать приговор в установленном порядке.

Вместе с тем наказание за утечки уже очень скоро будет ужесточено. Появятся оборотные штрафы, а в случае наиболее серьезных инцидентов с тяжкими последствиями может грозить и уголовная ответственность. "Хищения персональных данных должны являться предметом уголовного наказания. Ведется работа по подготовке соответствующих инициатив, - сообщил глава Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн в ходе пресс-конференции "Защита персональных данных россиян: достижения и проблемы". - Наш комитет и Госдума в целом осознают всю серьезность вопросов утечек и незаконного оборота персональных данных. За это должна быть соразмерная ответственность".

Заместитель председателя Комитета Госдумы по информационной политике, информационным технологиями и связи Павел Горелкин прокомментировал "Парламентской газете" приговор в отношении "Гемотеста" следующим образом: "Что такое 60 тыс. руб.? Это треть минимального оклада ИБ-специалиста. Конечно, компаниям сейчас невыгодно вкладываться в безопасность. Штрафы за утечки нужно увеличивать кратно - более того, предусмотреть персональную ответственность руководителя".

Павел Катков считает, что одними наказаниями проблему не решить: "Нужны системные решения, упреждающие меры, такие как заблаговременно настроенные системы информационной защиты. И конечно, нельзя наказывать только организацию, допустившую утечку: необходимо понять, была ли утечка результатом оплошности или атаки. В последнем случае у утечки есть конкретный виновник, у него был умысел, и это снижает ответственность медицинской организации, потому что взломать можно любую систему".