Размер шрифта:
Цвета сайта:
Изображения:
 

Ближайшее будущее штрафов за утечку персональных данных

Категории
Категории
Все публикации
МИС
6
Медоборудование
11
Телемедицина
32
ИИ
63
Кибербезопасность
135
Светлана Крискевич
  • 3 мин
  • 40
Кибербезопасность

В 2023 году у популярного российского курорта «Роза Хутор» слили базу клиентов. Всего 522 тыс. строк. Курорт «Роза Хутор» предприятие большое — на сайте можно и отель забронировать, и ски-пасс оформить. При покупке  без передачи персональных данных не обойтись. Из-за уязвимости в 1С-Битрикс у компании похитили такие данные клиентов — имя/фамилия, телефон, емэйл, хешированный пароль, пол, дату рождения, город. Актуальность базы датировалась периодом май 2020 — май 2023. Сумма выписанного штрафа составила 60 тыс. рублей.

А вот другая история. У группы отелей Marriott International данные утекали уже три раза, в 2009, 2018 и 2020. Самая крупная была в 2018-м — хакеры получили доступ к базе данных бронирования гостей и получили 383 млн записей. Штраф в Великобритании составил 123 млн долл. Помимо этого, компании пришлось сделать для клиентов колл-центр, портал, на котором клиенты могли проверить свои данные, и оплатить желающим смену паспортов.

Как мы видим, в российском примере нет зависимости штрафа от объёма утечки, а в западном — есть.

В этом году нас ждут изменения в 152-ФЗ (в первом чтении принят законопроект принят) и размеры штрафа будут зависеть от объёма утечки и от того, первое это правонарушение или повторное. Пока обещают такие штрафы:

  • 3–5 млн.р. при первых утечках от 1 000–10 000 чел.
  • 5–10 млн.р. при первых утечках от 10 000–100 000 чел.
  • до 15 млн.р. более 100 000 чел.

За повторные утечки планируется штраф от оборота — 0,1–3% от выручки за календарный год или часть текущего года. Минимум 15 млн.р., максимум — 500 млн.р.

Как подготовиться?

  1. Провести аудит хранения персональных данных.
  2. Провести аудит ИТ-инфраструктуры и технических средств, которые хранят персональные данные.
  3. Оформить все соглашения с персоналом о конфиденциальных данных, соглашения о неразглашении.
  4. Назначить ответственных лиц за сохранность персональных данных и их обучить.
  5. Назначить ответственного сотрудника за Информационную безопасность: у него должна быть инструкция о том как действовать в случае утечки.

Чек-лист «Кибербезопасность отеля»: проверяем базовую информационную безопасность отеля.

Читайте также: