Разделы

Безопасность ИТ в госсекторе Техника

Закон об оборотных штрафах за утечки персональных данных принят в первом чтении. Хакеры его ждали, чтобы начать крупный шантаж

23 января 2024 г. Государственной думой в первом чтении принят законопроект об оборотных штрафах для ИТ-компаний, допустивших утечки ПДн пользователей. По мнению главного эксперта из «Лаборатории Касперского», хакеры ждут этого закона, чтобы начать вымогать деньги у российских ИТ-компаний.

Оборотные штрафы и уголовная ответственность для хакеров

Депутаты Госдумы приняли в первом чтении законопроект, предусматривающий изменение штрафов за утечки персональных данных (ПДн) пользователей и введение уголовной ответственности для хакеров. Штраф будет расти в зависимости от количества субъектов ПДн, чьи данные были «слиты».

В декабре 2023 г. CNews сообщал о внесении данного законопроекта в Государственную думу.

Если законопроект будет принят, то от 1 до 10 тыс. субъектов ПДн приведут к штрафу от 3 до 5 млн руб., от 10 тыс. до 100 тыс. – от 5 млн до 10 млн руб., а более 100 тыс. субъектов – от 10 млн до 15 млн руб.

haker_kandinsky_700.jpg
Фото: Kandinsky
Хакеры ждут подходящего момента для публикации уже украденных данных российских ИТ-компаний

В случае повторной утечки данных законодатели предлагают ввести оборотные штрафы от 0,1% до 3% выручки за календарный год или за часть текущего года, но в пределах от 15 млн до 500 млн руб.

В том числе, законопроект предусматривает установление уголовной ответственности за незаконные использование, передачу, сбор и хранение ПДн граждан России. Максимальной санкцией за эти деяния может стать лишение свободы на 10 лет со штрафом до 3 млн руб., которая предусмотрена за совершение преступления в составе организованной группы.

Хакеры ждут этого закона

Сергей Голованов, главный эксперт «Лаборатории Касперского», считает, что злоумышленники ждут ввода оборотных штрафов для усиления своих переговорных позиций и шантажа компаний, чьи данные они смогли выкрасть.

«В ходе расследований, которые мы провели в конце 2023 г. мы выяснили, что очень много информации, которая была украдена за весь прошедший год, не была опубликована», - заявил он. Также Сергей Голованов дополнил, что «Лаборатории Касперского» известно, из какой компании и сколько данных утекло.

Самым большим выкупом в России, который требовали хакеры были $3 млн, запрошенные киберпреступной группировкой Twelve. Хакеры предлагали восстановить данные, которые были зашифрованы на компьютерах компании за эту сумму. По словам эксперта, злоумышленники использовали стандартные уязвимости телекоммуникационного оборудования.

Главный эксперт «Лаборатории Касперского» Сергей Голованов полагает, что хакеры ждут ввода оборотных штрафов для усиления своих переговорных позиций и шантажа компаний

«Тем не менее, никаких переговоров с вымогателями вести не нужно», - сказал Сергей Голованов.

Однако, он отметил, что количество утечек в 2023 г., хоть и упало по сравнению с 2022 г., но число записей, опубликованных хакерами выросло на 33% и достигло 315 млн.

Люстрации для топ-менеджмента за утечки данных

Вчера, 22 января 2024 г., CNews рассказал о законопроекте, в котором предлагается люстрация для ответственных за информационную безопасность (ИБ) в российских банках, которые допустили утечку.

Проект закона был подготовлен при участии Банка России. «Он предусматривает повышение уровня персональной ответственности заместителя главы банка в области ИБ за нарушения требований по защите информации пользователей, которые привели к утечке ПДн или банковской тайны», - сообщили «Известиям» в Банке России.

Законопроект коснется не только банков, но и страховых компаний, пенсионных фондов и микрокредитных финансовых организаций.

Дмитрий Федонин