Поделиться
«Дочку» Роскомнадзора оштрафовали за утечку персональных данных
Суд наказал «Главный радиочастотный центр» за утечку персональных данных – в ноябре 2022 г. подведомственный Роскомнадзору орган не сумел защитить от хакеров переписку своих сотрудников во внутреннем мессенджере. Размер наказания составил лишь 30 тыс. руб. Власти работают над законопроектом, позволяющим наказывать организации за такие утечки оборотными штрафами в размере до 3% годового дохода.
Деньги в бюджет
Подведомственный Роскомнадзору «Главный радиочастотный центр» (ГРЧЦ) был признан виновным в утечке персональных данных. Как пишет ТАСС, решение не в пользу Центра принял мировой судья Симоновского района Москвы.
Согласно судебным документам, осенью 2022 г. ведомство подверглось хакерской атаке, которую не смогло отразить – киберпреступники сумели проникнуть в его внутреннюю компьютерную сеть и унести с собой информацию, признанную персональными данными сотрудников ГРЧЦ. В частности, в их руках оказались «фрагменты общения сотрудников», пишет Forbes.
Суд признал ГРЧЦ виновным в нарушении ч. 2 ст. 13.11 КоАП РФ («Нарушение законодательства России в области персональных данных»). Наказанием за это, согласно действующему законодательству, для юридических лиц является штраф в размере от 30 до 150 тыс. руб. По решению суда ГРЧЦ отделался минимальной суммой – ведомство заплатит лишь 30 тыс. руб.
В вердикте указано, что «Главный радиочастотный центр» не обеспечил конфиденциальность персональных данных сотрудников. Судья посчитал также, что Центр не исключил неправомерный доступ хакеров к базе данных, содержащих персональные данные его сотрудников.
Кто ломал ГРЧЦ
Взлом «Главного радиочастотного центра» произошел в середине ноября 2022 г. По информации «Коммерсанта», ответственность за инцидент взяла на себя хакерская группировка «Киберпартизаны», ранее орудовавшая в Белоруссии.
Силами хакеров в свободном доступе в Сети оказались скриншоты переписки сотрудников в корпоративном мессенджере, что суд и счел за утечку персональных данных. Дополнительно они опубликовали изображения консоли внутренней DLP-системы ГРЧЦ. Эта система используется организациями именно для защиты от утечек.
Получить доступ к внутренней переписке хакеры могли путем взлома учетной записи одного из сотрудников. Представители ГРЧЦ тогда сообщили изданию, что все было под контролем. «Ситуация была управляемой, в ходе нее проводился анализ действий нарушителей, находившихся в открытом контуре. Преступники не получили доступ ни к закрытой информации, ни к критически важной инфраструктуре», – заявляли представители ГРЧЦ.
Хакеров из группы «Киберпартизаны» связывают с Белоруссией. В этой стране они изрядно «наследили», впервые заявив о себе в сентябре 2020 г., сразу после президентских выборов. В этом месяце они успели дважды сломать сайт МВД Белоруссии, успешно атаковать портал госзакупок и повредить сайт Управделами Президента Белоруссии. Белорусская универсальная товарная биржа тоже вышла из строя по вине «Киберпартизан».
В конце сентября 2020 г. киберпартизаны провели успешную атаку на онлайн-вещание телеканалов «Беларусь 1» и «Общенациональное телевидение», а в январе 2021 г. они выложили в Сеть персональные данные 15 сотрудников Следственного комитета Белоруссии.
Но перечисленным их злодеяния не ограничились – летом 2021 г. хакеры взломали базу данных белорусской ГАИ, а через несколько дней победили защиту белорусской автоматизированной информационной системы «Паспорт». Это дало им полный доступ кперсональным данным граждан, в том числе силовиков.
В начале 2022 г. «Киберпартизаны» вновь напомнили о себе. Они взяли ответственность за взлом и блокировку серверов Белорусской железной дороги.
В опасности все
Утечки персональных данных – едва ли не национальная проблема России. По итогам 2022 г. их объем вырос в 40 раз год к году, а пострадали от них около 100 млн россиян. Это две трети населения страны, и в будущем количество жертв утечек может сильно вырасти, поскольку хакеры совершенно не собираются сдавать позиции – наоборот, они постоянно вербуют новичков, чтобы усилить масштаб атак.
Сейчас штраф для компаний за утечки данных небольшой – как правило, даже крупному бизнесу приходится выплачивать не более 60 тыс. руб. что при многомиллиардных выручках едва ли отражается на их деятельности. Вероятно, почти полное отсутствие наказания является одной из причин роста числа утечек, многие из которых бьют исторические рекорды по своим объемам.
Например, за последние несколько лет Сбербанк дважды упускал в Сеть базу с персональными данными десятков миллионов своих клиентов – сперва вкладчиков, а затем и участников программы лояльности «Сберспасибо», которые, как сообщал CNews, весной 2023 г. внезапно и массово начали терять накопленные бонусы. У некоторых это сотни тысяч баллов, а один балл в системе «Сберспасибо» равен одному рублю.
Решить проблему может многократное увеличение штрафов за утечки. Власти работают в этом направлении – в конце апреля 2023 г. CNews писал о новом законопроекте Минцифры, в котором предлагается обложить компании, виновные в утечке персональных данных, оборотным штрафом в размере до 3% годового дохода.
Поделиться
Короткая ссылка
