Кто ответит за дыры в информбезопасности

45683

Кто платит штрафы и какое наказание предусмотрено за утечку данных на Западе и у нас? Какие последствия ждут руководителя компании, которая допускает ошибки в контроле информационной безопасности?

Сравнение и аналитика

Комитет по информационной безопасности Казахстана регулярно проводит внеплановые проверки, чтобы выявить несоответствие в деятельности организаций требованиям информационной безопасности. Обратите внимание, насколько все серьезно и как активно растет количество инцидентов в этой сфере с каждым годом.

Что необходимо сделать каждой компании, чтобы соблюдать законодательство о защите персональных данных и других разделов ИБ:

  • назначить лицо, ответственное за полный контроль всей отрасли на предприятии;
  • согласовать список персональных данных, которые будет собирать компания для ведения деятельности;
  • разработать регламенты по другим компонентам информационной безопасности в зависимости от специфики бизнеса;
  • соблюдать бизнес-процессы, связанные с ИБ, и регулярно проводить внутренние проверки;
  • вести и своевременно обновлять документацию в сфере информационной безопасности;
  • своевременно вносить изменения по результатам самостоятельно выявленных проблем или по предписанию контролирующих органов.

За нарушения правил ИБ отвечают руководитель компании и назначенный сотрудник. С 2022-го по 2023 год в Казахстане проведено 56 внеплановых проверок и рассмотрено 157 административных дел. В результате по статье 641 КоАП РК к административной ответственности привлечены 130 должностных лиц и 17 юридических лиц.

За 2024 год Комитетом ИБ РК было проведено 26 внеплановых проверок, в результате которых были назначены штрафы 11 должностным лицам на сумму ₸304 590 и 7 юридическим лицам на сумму ₸1 006 070. Общая сумма наказания составила ₸1 310 660.

Если говорить не о внеплановых проверках, а о громких делах, то в марте 2024 года была обнаружена утечка персональных данных более 2 млн пользователей микрофинансовой организации zaimer.kz. Компанию привлекли к административной ответственности и обязали выплатить штраф в размере ₸1 846 000.

Отрасли, которые больше всего подвержены проблемам внешних атак в мировой практике, таковы:

  • государственные учреждения – 15% успешных атак на 2023 год, связано с геополитической обстановкой в мире;
  • организации здравоохранения – 11% успешных атак, высокий интерес со стороны взломщиков связан с тем, что базы медучреждений содержат большие объемы информации;
  • сфера науки и образования – 10%, эти организации также используют крупные пласты персональных данных, что привлекает мошенников.

В мае 2023 года в американском штате Мэн в результате утечки данных была скомпрометирована информация о 1,3 млн человек. Злоумышленники взломали систему передачи файлов, в которой хранились данные о жителях штата. Когда произошел инцидент, правительство региона предоставило пострадавшим доступ к регулярному кредитному мониторингу.

Согласно законодательству штата Мэн, если организация обнаружила утечку данных, она должна немедленно уведомить о произошедшем пострадавших лиц. За правонарушения в области ИБ должностным лицам могут начислить штраф в размере до $500.

В Европе также предусмотрены крупные штрафы за несоблюдение основ ИБ. Так, одну из нидерландских организаций оштрафовали на €725 000 за сбор биометрических данных сотрудников без наличия согласий каждого работника.

Если смотреть общим планом, в целом на Западе логика наказаний за нарушение норм ИБ продумана несколько лучше, чем у нас. При этом именно на Западе есть проблема имени Джо Салливана, бывшего руководителя службы безопасности Uber, которого обвинили в сокрытии кибератаки.

Сложность в том, что первые лица находятся между двух огней. Если озвучить вслух детали происшествия, получишь иск от работодателя, не сообщить – уголовное преследование. В Казахстане пока за это грозит штраф и увольнение, а судебные разбирательства возникают при очень серьезных инцидентах.

Хочу предупредить всех читателей, что ответственность за информационную безопасность компании несет в первую очередь руководитель, и только потом – назначенное лицо и другие сотрудники.

Если компания не хочет столкнуться с административной ответственностью и крупными штрафами, потерей репутации и судебными разбирательствами, нужно заранее позаботиться об ИБ. Сегодня эта проблема касается практически каждого бизнеса.

Евгений ПИТОЛИН, независимый эксперт в области кибербезопасности, ИТ и маркетинга

Международное информационное агентство «DKnews.kz» зарегистрировано в Министерстве культуры и информации Республики Казахстан. Свидетельство о постановке на учет № 10484-АА выдано 20 января 2010 года.

Тема
Обновление
МИА «DKnews.kz» © 2006 -