Спецпроекты

Infowatch: две трети дел об утечках информации рассматриваются в уголовной плоскости

Безопасность Госрегулирование Техническая защита

Экспертно-аналитический центр Infowatch опубликовал первый отчет о судебной практике по делам, связанным с утечками информации ограниченного доступа. Исследование проводилось в целях выявления основных и наиболее очевидных проблем правоприменения в области защиты информации. Согласно результатам исследования, каждое четвертое дело заканчивается вынесением реального или условного срока, а максимальная сумма ущерба по делу об утечке информации, подтвержденная решением российского суда в 2018 г., составляет 14 млн руб.

Значительная часть дел об утечках конфиденциальной информации, рассматривалась по правилам уголовного судопроизводства (69,1%). Правда, только в результате рассмотрения менее 5% всех дел суд назначил нарушителю реальный срок заключения. Еще примерно 21% дел завершились условными сроками, а в более чем 30% случаев вынесены различные виды штрафов. Каждое четвертое дело приводит только к увольнению нарушителя. Только 8,6% дел были прекращены за примирением сторон.

Злоупотребление доступом к конфиденциальной информации представляет более половины судопроизводств (59,5%). Второе и третье место занимают разглашение и неправомерный доступ (24,5% и 16% соответственно). Основными мотивами осуществления преступных действий являются корысть (83,6%) и месть (16,4%). Более 70% утечек, которые легли в основу судебного производства, произошло из-за неправомерных действий сотрудников коммерческих и некоммерческих организаций и всего 20% утечек случилось в результате действий внешних злоумышленников. По словам Андрея Арсентьева, руководителя отдела аналитики и спецпроектов Infowatch, ярким примером неправомерного использования конфиденциальной информации можно считать различные мошеннические действия сотрудников салонов связи. Менеджеры сотового ритейла не стесняются продавать клиентскую информацию, оказывать незаконные услуги по перевыпуску SIM-карт, продаже «красивых» номеров и т.д. Это связано с тем, что относительно свободный доступ к клиентской информации наряду с мягкостью назначаемого наказания фактически дает карт-бланш на неправомерные действия. То же самое можно сказать о сотрудниках финансово-кредитной сферы, подразделений почтовых операторов, иных организаций, связанных с обслуживанием движения денежных средств и обработкой персональных данных. По мнению аналитиков, основными причинами для «примитивных» злоупотреблений в сотовом ритейле и клиентских офисах банков являются низкая зарплата рядового персонала, информационная безграмотность и недостатки в работе служб информационной безопасности.

Около трети всех случаев утечек конфиденциальной информации, рассмотренных судами, приходится на высокотехнологичные компании (ИТ, ИБ, телеком, интеграция и т.д.). Значительную долю в судебных делах об утечках занимают нарушения в промышленных и транспортных организациях – 14,1%. Стоит отметить, что в высокотехнологичных компаниях доля дел, рассмотренных по правилам уголовного судопроизводства, составляет 96%.

Универсальными типами скомпрометированной информации для всех отраслей можно считать персональные данные и сведения, составляющие коммерческую тайну (64,6%). Они ожидаемо преобладают в распределении утечек по типу данных.

Авторы исследования отмечают, что судебная практика по делам об утечках информации складывается скорее в пользу обладателей информации, нежели наоборот. На сегодня основные проблемы вызывает несогласованность между регулятивным и охранительным законодательством. Это результат быстро развивающейся информационной среды, за которой не успевает охранительное законодательство.

«Причина, по которой чаще всего дела об утечках данных рассматриваются по правилам уголовного судопроизводства, кроется в особенностях двух наиболее ликвидных типов информации, подвергающихся компрометации, — это финансовая информация и персональные данные, утечка которых отражается не только на обладателях информации, но и на ее носителях, то есть гражданах. В рамках гражданского производства рассматриваются дела, где утечка информации отражается только на обладателе информации», – отметил главный аналитик ГК Infowatch Сергей Хайрук.

По словам специалистов экспертно-аналитического центра Infowatch, большую часть противоправных действий сотрудников в отношении конфиденциальных данных можно было бы предотвратить с помощью сочетания организационных и технических мер, включающих в себя, например, запрет мобильных устройств с фото(видео)камерой на рабочих местах, запрет применения личных (или недоверенных) облачных сервисов и личной электронной почты, а также контроль соблюдения этих правил путем применения автоматизированных средств.