Коротко и ясно с Трудовой практикой. HR & DIGITAL (Выпуск №27)

В Госдуму внесли законопроект об увеличении штрафов за нарушение требований к защите информации

Изменения предлагается внести в ст. 13.12 КоАП РФ (Нарушение правил защиты информации). Законопроектом устанавливается размер штрафов для должностных лиц – от 10 до 50 тыс. рублей (сейчас от 1 до 2 тыс. рублей), для компаний – от 50 до 100 тыс. рублей (сейчас от 10 до 15 тыс. рублей).

Также увеличение может коснуться штрафов за использование несертифицированных информационных систем, баз данных и несертифицированных средств защиты информации: для должностных лиц – от 10 до 50 тыс. рублей (сейчас от 2,5 до 3 тыс. рублей), для юридических лиц – от 50 до 100 тыс. рублей (сейчас от 20 до 25 тыс. рублей).

Также до одного года предлагается увеличить срок давности привлечения к административной ответственности за нарушение правил защиты информации. Сейчас он составляет 60 календарных дней (если дело рассматривал судья – 90).

Как работодателю обезопасить работников от фишинговых атак и защититься от возможных утечек персональных данных («ПДн»)

Фишинговая рассылка – это вид кибератаки, при котором злоумышленники используют поддельные сообщения, веб-сайты или приложения для получения конфиденциальной информации. Если работник, не распознав фишинг, переходит по ссылке или вступает в дискуссию со злоумышленником, то последний может получить доступ в корпоративную базу, к электронной почте работника.

Обращаем внимание, что такие кибератаки могут привести к серьезным последствиям, включая финансовые потери, утечку конфиденциальной информации, в том числе ПДн, юридическую ответственность и репутационный ущерб.

Юридические риски могут заключаться, помимо прочего, в привлечении компании к административной ответственности. В одном из дел в результате фишинговой рассылки внешний пользователь вошел в корпоративный контур компании под учетной записью работника, выгрузил, а затем опубликовал базу данных работников. База содержала следующие ПДн: ФИО, номер телефона, адрес работы, специальность, должность, вид занятости, стаж работы, адрес электронной почты, информация об образовании.

Компания свою вину признала, а суд назначил минимальный штраф по ч. 1 ст. 13.11 КоАП РФ в размере 60 тыс. рублей, приняв во внимание следующее:

1) утечка не повлекла за собой нарушение прав и законных интересов компании и ее работников, обращений в связи с компрометацией ПДн в результате инцидента не поступало;

2) доступ к ПДн произведен вследствие неправомерных действий третьих лиц, при этом использование вредоносного ПО не обнаружено;

3) ИБ и ИТ отделы оператора немедленно осуществили блокировку скомпрометированных учетных записей;

4) компания своевременно направила уведомление об инциденте в Роскомнадзор;

5) имущественный ущерб отсутствовал, в сеть не попали сведения, которые могли бы нести финансовую, репутационную и другую угрозу работникам;

6) правонарушение совершено впервые, ранее компания к административной ответственности по ст. 13.11 КоАП РФ не привлекалась, имеет положительную деловую репутацию с точки зрения соблюдения законодательства в области ПДн.

Подробнее см. Постановление мирового судьи судебного участка № 349 района Беговой г. Москвы от 27.02.2024 по делу № 05-0381/349/2024.

Чтобы обезопасить работников от фишинга, мы рекомендуем предпринять следующие меры:

1. Обучение и повышение осведомленности. Проведите для работников обучающие семинары и тренинги по кибербезопасности, чтобы они могли распознавать фишинговые атаки и не поддаваться на уловки мошенников.

2. Фильтрация почты. Используйте антивирусные программы и спам-фильтры для обнаружения и блокировки подозрительных писем.

3. Многофакторная аутентификация. Внедрите многофакторную аутентификацию для доступа к важным системам и приложениям, чтобы усложнить злоумышленникам задачу получения доступа к личным данным.

4. Регулярное обновление ПО. Убедитесь, что все работники используют последние версии ПО и операционных систем, которые содержат исправления уязвимостей, используемых фишерами.

5. Ограничение доступа. Ограничьте доступ работников к конфиденциальной информации и системам только теми, кому это действительно необходимо для работы.

6. Мониторинг и анализ. Отслеживайте подозрительную активность и анализируйте данные о попытках фишинговых атак, чтобы выявить тенденции и улучшить меры безопасности.

7. Сотрудничество с IT-отделом. Поддерживайте тесное сотрудничество с IT-отделом для быстрого реагирования на угрозы и внедрения новых технологий безопасности.