Ужесточение ответственности за утечки персональных данных в России может привести к увеличению числа случаев шантажа и вымогательства. Эксперты считают, что злоумышленники будут использовать угрозу крупных штрафов как дополнительный рычаг давления на бизнес, особенно если пострадавшие компании будут пытаться уйти от ответственности.
С 30 мая 2025 года существенно увеличены административные санкции за нарушения в сфере обработки персональных данных. Теперь ответственность зависит от масштаба утечки и степени нарушения:
за сбор данных без уведомления РКН штраф с 5 тысяч вырос до 300 тысяч рублей;
за незаконный сбор данных - с 50 тысяч до 150-300 тысяч;
за умолчание факта утечки данных - с 5 тысяч до 1-3 млн рублей
До мая 2025 года размеры штрафов были значительно ниже - чаще всего исчислялись сотнями тысяч рублей и редко превышали 1 млн рублей в совокупности, даже при массовых утечках.
На фоне увеличения штрафов компании становятся более уязвимыми к давлению со стороны злоумышленников. По данным специалистов по безопасности, хакеры чаще склоняются к схемам, при которых украденные массивы персональных данных шифруются или похищаются, а затем владельцам этих данных выдвигаются требования о выплате выкупа за их восстановление и за отказ от сообщения о факте утечки регулятору.
Когда организация сталкивается с угрозой штрафа в несколько миллионов рублей, а также с риском репутационных потерь, искушение выплатить выкуп на первый взгляд кажется более безопасным вариантом. Однако эксперты предупреждают: такая тактика только стимулирует дальнейшее развитие вымогательства.
Особенно уязвимыми оказываются малые и средние компании. Они зачастую имеют более слабые ресурсы для построения сложных систем защиты информации, а также меньше возможностей для управления репутационными рисками. Угроза штрафов и публичных санкций делает такие организации потенциально более склонными к уступкам злоумышленникам.
Кроме того, на фоне ускоренного перехода на отечественные ИТ-решения риски утечек усиливаются. Новые решения, внедренные в сжатые сроки без комплексного тестирования на безопасность, могут содержать уязвимости, которыми злоумышленники активно пользуются.
По оценкам профессиональных компаний по информационной безопасности, официальные случаи утечек, фиксируемые регуляторами или публично раскрываемые, лишь часть всех инцидентов. Реальные утечки данных могут затрагивать сотни миллионов записей ежегодно, а отдельные крупные инциденты - десятки миллионов строк персональных данных.
Рост числа атак, сопровождаемых вымогательством с угрозой публикации данных и уведомлением регулятора, делает сочетание «утечка плюс штраф» мощным инструментом давления на организации.
Эксперты указывают, что даже увеличенные штрафы не всегда соразмерны последствиям для граждан, чьи данные были скомпрометированы. При утечке десятков миллионов записей реальная стоимость штрафа в пересчете на одного человека может быть символической, несмотря на крупные номинальные суммы.
Компании, пытаясь скрыть инцидент и выплатить выкуп, рискуют столкнуться с повторной продажей данных и более серьезными последствиями в будущем. Кроме того, торговля похищенными данными на открытых и закрытых площадках без реальной ответственности платформ усиливает угрозу дальнейших утечек.
Эксперты предлагают компаниям перейти от формальных механизмов согласия на обработку данных к полноценным договорным отношениям, в которых четко определены обязательства по защите, хранению и уничтожению персональных данных. Кроме того, укрепление технических мер защиты и регулярные независимые аудиты ИТ-систем могут снизить вероятность инцидентов и уменьшить масштаб потенциальных утечек.
Самые читаемые
