Утечка персональных данных: что надо знать застройщикам, чтобы не попасть под новые штрафы

30 ноября прошлого года был подписан федеральный закон о внесении изменений в статью 13.11 КоАП РФ. А 30 мая этого года в силу вступят новые штрафы за утечку персональных данных, которых у многих вызывают опасения.

Но, как говорится, волков бояться — в лес не ходить и не работать с персональными данными. Нам такой вариант не подходит, и вам такого тоже не желаем. Так что вместе разбираемся, что это за новые штрафы и как защитить от них свой бизнес.

‍

Насколько все серьезно?

Если совсем кратко, то если раньше за утечку персональных данных компания могла получить штраф в 100–300 тысяч рублей, то теперь верхняя граница в определенных случаях может достигать 500 млн рублей.

Если подробнее. 

1. Увеличатся штрафы за неисполнение «старых»требований и правил. Например, штраф за обработку персональных данных в целях, которые не соответствуют указанным в уведомлении в РКН. На данный момент его размер для юридических лиц еще составляет от 60 до 100 тысяч рублей, а будет — от 150 до 300.  

2. Изменения будут зафиксированы в отношении 9 видов правонарушений, большинство из которых касается утечки персональных данных, также появится 3 новых вида.

3. За повторную утечку персональных данных будут установлены оборотные штрафы в размере от 1 до 3% годовой выручки компании.

Чтобы вам не пришлось далеко ходить за точными цифрами штрафов для юридических лиц по основным пунктам статьи, мы собрали их здесь.

При этом сама проблема утечки персональных данных становится только актуальнее из года в год. Так, за 2024 год объем утекших персональных данных вырос на 70% относительно 2023, по данным сервиса разведки уязвимости и утечки данных DLBI. 

Из этого следует простой вывод. Наша задача — разобраться в проблеме и убедиться, что приняты все необходимые меры. 

‍

Из-за чего происходят утечки? 

Чтобы не быть голословными, мы обратились за консультацией к специалистам по информационной безопасности, а точнее к Сергею Балыбердину, методологу проекта «Кибериспытание». 

Человеческий фактор

Человеческий фактор — самая основная причина утечек персональных данных за последнее время. Сотрудники операторов ПД все чаще сталкиваются с фишинговыми атаками. Достаточно, чтобы по ссылке из спам-рассылки перешел буквально один человек, и злоумышленники получают возможность удаленного внедрения кода и, как следствие, доступ к инфраструктуре

Сергей Балыбердин

Методолог проекта «Кибериспытание»

Также стоит учитывать два факта:

1. В большинстве случаев атаки на больших операторов ПД — целенаправленные. Злоумышленники проводят разведку на протяжении нескольких месяцев и в моменте примерно понимают, что и где искать. 
2. К сожалению, никто не защищен от риска сговора, когда преступникам помогает сотрудник компании. 

Недостаточный уровень цифровой гигиены

Многие ИТ-специалисты воспринимают цифровую гигиену как какую-то дополнительную и к тому же неинтересную нагрузку. И зачастую она либо не соблюдается вовсе, либо соблюдается, но халатно. Оба варианта оставляют лазейки для злоумышленников

Сергей Балыбердин

Методолог проекта «Кибериспытание»

Проявляться это может самыми разными способами: 

• у уволившихся сотрудников остаются все доступы
• внутренние пароли обновляются нерегулярно
• работать разрешено с любыми информационными ресурсами и в любых сервисах, например в google-инструментах, неподконтрольных для внутреннего ИБ-департамента

Квинтэссенция всех этих ошибок, которая встречается не так уж и редко, — google-таблица с реестром паролей и доступов к различным сервисам и почтам. Ссылка на редактирование которой остается у сотрудников даже после увольнения. 

Незащищенные каналы связи

Во многих компаниях персональные данные передаются в лучшем случае через корпоративную почту, в худшем — через популярные мессенджеры. Такие каналы связи не являются «защищенными» и довольно уязвимы для утечек.  

И проблема, кстати, не в перехвате данных — навряд ли кто-то решит целенаправленно отслеживать каждое сообщение ваших сотрудников. Проблема в аккумуляции информации на том же почтовом сервере. В случае его компрометации имеется высокий риск того, что эти данные будут забраны. 

Обсуждение на тему «А может ли оператор персональных данных передавать, например, паспортные данные заемщика через электронную почту» идут еще с момента выхода приказа ФСБ N 378. Но судебная практика и внимательное прочтение документа дают один неутешительный ответ — нельзя, если не используются сертифицированные ФСБ России СКЗИ (средства криптографической защиты информации)

Алексей Балыбердин

Юрист ДВИЖа

‍

Как защитить персональные данные и компанию

Предупрежден — вооружен, но при работе с персональными данными одного знания ошибок недостаточно. Поэтому совместно с экспертами мы собрали для вас базовые инструменты для защиты вашего бизнеса.

Уделять внимание цифровой гигиене

Когда специалисты по информационной безопасности говорят про цифровую гигиену, они не имеют в виду какие-то очень сложные действия. Все начинается с базовых вещей: 

• регулярного обновления паролей всех учетных записей 
• введения двухфакторной аутентификации
• контроля за изменениями в штате: сотрудник уволился — учетную запись удалили
• разграничения доступа к данным в зависимости от должностных обязанностей сотрудника: ни у кого не должно быть доступа сразу ко всей информации 

Проводить аудиты и проверки информационной безопасности

Даже если у компании нет ресурсов на собственных специалистов по информационной безопасности, это не означает, что достаточно просто сидеть и надеяться на лучшее. Провести аудит можно и сторонними силами.

Сейчас все большую популярность набирает работа с белыми хакерами в рамках кибериспытаний. Они имитируют возможные атаки на IT-инфраструктуру компании и выявляют не просто слабые места, а цепочки событий, которые могут нанести компании непоправимый ущерб. Утечки данных относятся именно к этой категории. А с помощью специальных платформ, например Standoff Bug Bounty или BiZone Bug Bounty, на которых размещаются задания для белых хакеров, любая компания может привлечь сразу сотню специалистов и получить полную оценку своей защищенности.

Передавать данные через защищенные каналы 

Почта, даже корпоративная, по-хорошему должна использоваться только для рабочей переписки. Для обмена документацией уже давно существуют специализированные системы документооборота.

Если же без документов по почте совсем никак, использовать нужно специальные почтовые сервисы вроде ViPNet-а с необходимым уровнем защиты. 

Использовать анкету по QR-коду от ДВИЖа

Застройщикам нужно собирать персональные данные клиентов еще до подписания договоров и старта полноценного документооборота. Ведь чтобы проверить, одобрит ли банк ипотеку конкретному заемщику уже нужно получить огромное количество информации о клиенте. 

Поэтому в ДВИЖе мы делаем максимум для обеспечения безопасности всех данных, которые попадают в систему.

1. Мы работаем на базе Yandex Cloud — платформы, которая имеет сертификат безопасности ФСТЭК и распределенные сервера на территории РФ.
2. При передаче анкет в интеграционные банки мы используем приватные каналы, все данные в которых шифруются.

Поэтому, используя нашу анкету, вы можете дополнительно защитить персональные данные ваших клиентов. А для большего удобства мы разработали новый формат — анкету по QR-коду. 

‍

‍

Как это работает? 

1. Вы получаете специальный QR-код, который ведет клиента на заполнение анкеты
2. Размещаете его в офисах продаж, на столах в переговорных или используете для онлайн-коммуникаций
3. Клиент во время беседы с менеджером как в онлайн-, так и в офлайн-формате, сканирует QR-код
4. Клиент заполняет ипотечную анкету с помощью Госуслуг за 30 секунд

Все лишние коммуникации и пересылки документов через мессенджеры таким образом исключаются из процесса. Клиент получает быстрый и удобный процесс, вы — гарантию безопасности при работе с персональными данными.

Мы всегда понимали, насколько вопрос безопасности важен для наших клиентов, учитывая постоянную работу с персональными данными. Поэтому это была одна из тех вещей, которые мы закрыли еще на самом старте. Но просто «безопасно» для нас было мало — очень важно было сделать работу еще и удобной. Так и появилась анкета по QR, которая упрощает и процессы наших пользователей, и клиентский путь покупателя недвижимости.

Кстати, это еще и отличный инструмент лидогенерации для девелоперов. Когда хотели сделать все и сразу, а получилось даже больше. И теперь можно спокойно радоваться отзывам первых пользователей

Ольга Жукова

Директор по развитию ДВИЖа

‍

Что еще стоит проверить

В качестве бонуса, мы попросили нашего юриста Алексея Балыбердина проанализировать сайты застройщиков и собрали ТОП-3 дополнительных ошибки в работе с персональными данными. Не надо так.

1. Уведомление о намерении осуществлять обработку персональных данных отправляется только от основного юридического лица застройщика, а не от каждого СЗ. При этом на практике работа с ПД ведется от лица всех компаний. С 30 мая штраф составит от 100 до 300 тысяч рублей.
2. Политика обработки персональных данных есть, но за основу взяты правила обработки данных работников — взаимодействие с клиентами и банками описывается в лучшем случае только поверхностно, не указаны категории данных из ипотечной анкеты и цели их обработки. С 30 мая штраф составит от 150 до 300 тысяч рублей.
3. Не подписаны поручения на обработку персональных данных с партнерами и подрядчиками.