Ни один человек или компания не застрахованы от хакерских атак на 100%. Банки, магазины и другие юридические лица сталкиваются с утечками персональных данных, навлекая на себя (не по своей воле) штрафы, а россияне вынуждены получать звонки с предложениями о товарах и слугах, которые им не нужны.
Самостоятельная защита
Гражданин, чьи личные данные попали в лапы мошенников, может защитить себя сам. Способов обезопаситься достаточно много. Например, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин советует соблюдать цифровую гигиену и не оставлять сведения о себе в Сети без крайней необходимости.
«Не нужно в каждой кофейне оставлять свои паспортные данные для получения скидочной карты, не понимая, как они будут дальше использоваться. Это касается и любых веб-сайтов, даже тех, которым мы доверяем», – пояснил эксперт.
Шермет Курбанов, юрист практики IP и цифрового права SEAMLESS Legal советует при регистрации, желательно на проверенных сервисах, использовать сложные пароли и многофакторную аутентификацию.
Однако не всегда ситуация зависит от пользователя. Данные, которые гражданин оставляет, так или иначе попадают в различные компании или другим юрлицам, где может случиться кража. В последние годы, замечает Шермет Курбанов, компании часто «теряют» персональные данные клиентов. Поэтому бизнесу важно позаботиться о минимизации вероятности утечки. Компаниям необходимо убедиться в готовности внутренних систем и усиленном контроле со стороны программистов, администраторов или технического отдела за сохранностью этих данных. Кроме того, замечает Ткачева Юлия, основатель и управляющий партнер компании Solid Case, следует уделить особое внимание компьютерной грамотности сотрудников, а также ограничить доступ к порталам, не находящимся в списке верифицированных ресурсов. Для дополнительной надежности спикер советует закреплять ответственность сотрудников посредством дополнительного соглашения при заключении трудового договора.
«В части защиты персональных данных законодательство очень жестко подходит к утечке. Поиск вариантов, связанных с пресечением случайной передачи таких данных, четко регламентирован Роскомнадзором. В случае утечки юридическое лицо обязано сообщить о масштабах и обстоятельствах происшествия», – пояснила эксперт.
Также предусмотрена ответственность за использование ненадежного оборудования и хранение данных на серверах за рубежом. Согласно части 5 статьи 18 152-ФЗ оператор сбора персональных данных обязан обеспечить сбор, систематизацию, хранение и накопление персональных данных россиян на серверах, находящихся на территории РФ. Если суд признает компанию нарушителем, ее внесут в «Реестр нарушителей прав субъектов персональных данных».
В довесок в Минцифры разработали проект приказа, главная идея которого заключается в проверке организаций, использующих идентификацию людей. Если компания не будет обладать достаточной защитой против утечки личных данных, ей могут запретить работать, например, с биометрией.
«Инициатива нацелена на повышение требований к аккредитованным операторам персональных данных, имеющим право работать с ЕБС. В частности, она направлена на проверку специалистов, отвечающих за информационную безопасность у оператора. Фактическое наличие квалифицированных специалистов ИБ у операторов, а не «на бумаге», снизит количество «сливов» из компании», – сказал Вадим Матвиенко, руководитель лаборатории исследований кибербезопасности аналитического центра «Газинформсервиса».
Законы в помощь
В случаях утечки, отмечает Шермет Курбанов, можно выделить двух «виновников»: тех, кто взламывает и распространяет чужие данные и тех, кто информацию не уберег.
«Первые относится к мошенникам, их действия считаются противоправными и влекут уголовную ответственность. Вторая группа – те, кто не смог защитить данные своих пользователей. Этих людей нельзя назвать мошенниками, но и для них предусмотрена ответственность – административная», – сказал специалист.
Мошенников могут привлечь по следующим нормам:
- статья 137 УК РФ «Нарушение неприкосновенности частной жизни». В случае распространения информации, содержащей личную или семейную тайну может быть назначен штраф в размере до 200 тысяч рублей, принудительные работы или же тюремное заключение сроком до 2 лет. Если информация касалась субъекта младше 16 лет, размер штрафа и тюремный срок будут увеличены. В случае использования служебного положения с целью разглашения личной информации субъекту грозит лишение свободы сроком до 4 лет и другие санкции;
- статья 138 УК РФ за разглашение сведений из деловой переписки и переговоров предусмотрен штраф до 80 тысяч рублей или исправительные работы.
Согласно статье 159.6 УК РФ предусмотрена уголовная ответственность за мошенничество в сфере компьютерной информации. Это касается рассылки фишинговых ссылок и иных способов кражи персональных данных. При этом создание фишингового сайта наказуемым не является.
Для регуляции и оценки действий обвиняемых могут быть применены статья 272 УК РФ «Неправoмерный доступ к компьютерной информации» или статья 273 «Создание, использование и распространение вредоносных компьютерных программ». Наказание определяется исходя из характера преступления.
И компаниям, и физическим лицам необходимо внимательно следить за сохранностью своих данных. Не использовать сторонние гаджеты, чужое оборудование и сомнительные ресурсы, регулярно повышать уровень компьютерной и интернет-грамотности, следить за обновлениями технического блока и изменениями законодательства.
