Коротко и ясно с Трудовой практикой. HR & DIGITAL (Выпуск №27)

В Госдуму внесли законопроект об увеличении штрафов за нарушение требований к защите информации

Изменения предлагается внести в ст. 13.12 КоАП РФ (Нарушение правил защиты информации). Законопроектом устанавливается размер штрафов для должностных лиц – от ****10 до 50 тыс. рублей**** (сейчас от 1 до 2 тыс. рублей), для компаний – от 50 до 100 тыс. рублей (сейчас от 10 до 15 тыс. рублей).

Также увеличение может коснуться штрафов за ****использование несертифицированных информационных систем****, ****баз данных**** и ****несертифицированных средств защиты информации****: для должностных лиц – ****от 10 до 50 тыс. рублей**** (сейчас от 2,5 до 3 тыс. рублей), для юридических лиц – ****от 50 до 100 тыс. рублей**** (сейчас от 20 до 25 тыс. рублей).

Также ****до одного года**** предлагается увеличить срок давности привлечения к административной ответственности за нарушение правил защиты информации. Сейчас он составляет 60 календарных дней (если дело рассматривал судья – 90).

Как работодателю обезопасить работников от фишинговых атак и защититься от возможных утечек персональных данных («ПДн»)

****Фишинговая рассылка**** – это вид ****кибератаки****, при котором злоумышленники используют поддельные ****сообщения****, ****веб-сайты**** или ****приложения**** для получения конфиденциальной информации. Если работник, не распознав фишинг, переходит по ссылке или вступает в дискуссию со злоумышленником, то последний может получить ****доступ в корпоративную базу****, к ****электронной почте**** работника.

Обращаем внимание, что такие кибератаки могут привести к серьезным последствиям, включая ****финансовые потери****, ****утечку**** конфиденциальной информации, в том числе ПДн, ****юридическую ответственность**** и ****репутационный ущерб****.

Юридические риски могут заключаться, помимо прочего, в привлечении компании к административной ответственности. В одном из ****дел**** в результате ****фишинговой**** рассылки внешний пользователь вошел в корпоративный контур компании под ****учетной записью работника****, выгрузил, а затем опубликовал базу данных работников. База содержала следующие ПДн: ФИО, номер телефона, адрес работы, специальность, должность, вид занятости, стаж работы, адрес электронной почты, информация об образовании.

Компания свою вину признала, а суд назначил минимальный штраф по ч. 1 ст. 13.11 КоАП РФ в размере ****60 тыс. рублей****, приняв во внимание следующее:

****1)**** утечка ****не повлекла**** за собой нарушение ****прав**** и ****законных интересов**** компании и ее работников, обращений в связи с компрометацией ПДн в результате инцидента ****не поступало****;

****2)**** доступ к ПДн произведен вследствие ****неправомерных действий третьих лиц****, при этом использование ****вредоносного ПО не обнаружено****;

****3)**** ИБ и ИТ отделы оператора немедленно осуществили ****блокировку скомпрометированных учетных записей****;

****4)**** компания своевременно направила ****уведомление об инциденте в Роскомнадзор****;

****5) имущественный ущерб**** отсутствовал, в сеть не попали сведения, которые могли бы нести ****финансовую****, ****репутационную**** и другую ****угрозу**** работникам;

****6)**** правонарушение совершено ****впервые****, ранее компания к административной ответственности по ст. 13.11 КоАП РФ не привлекалась, имеет положительную ****деловую репутацию**** с точки зрения соблюдения законодательства в области ПДн.

Подробнее см. Постановление мирового судьи судебного участка № 349 района Беговой г. Москвы от 27.02.2024 по делу № 05-0381/349/2024.

Чтобы обезопасить работников от фишинга, мы рекомендуем предпринять следующие меры:

1. Обучение и повышение осведомленности. Проведите для работников обучающие семинары и тренинги по кибербезопасности, чтобы они могли распознавать фишинговые атаки и не поддаваться на уловки мошенников.

2. Фильтрация почты. Используйте антивирусные программы и спам-фильтры для обнаружения и блокировки подозрительных писем.

3. Многофакторная аутентификация. Внедрите многофакторную аутентификацию для доступа к важным системам и приложениям, чтобы усложнить злоумышленникам задачу получения доступа к личным данным.

4. Регулярное обновление ПО. Убедитесь, что все работники используют последние версии ПО и операционных систем, которые содержат исправления уязвимостей, используемых фишерами.

5. Ограничение доступа. Ограничьте доступ работников к конфиденциальной информации и системам только теми, кому это действительно необходимо для работы.

6. Мониторинг и анализ. Отслеживайте подозрительную активность и анализируйте данные о попытках фишинговых атак, чтобы выявить тенденции и улучшить меры безопасности.

7. Сотрудничество с IT-отделом. Поддерживайте тесное сотрудничество с IT-отделом для быстрого реагирования на угрозы и внедрения новых технологий безопасности.