Блог

Оборотные штрафы за утечки данных: что меняется

В России в конце мая 2025 года принят Федеральный закон №420-ФЗ, который в числе прочего предусматривает введение оборотных штрафов за допущение утечек персональных данных (ПДн). Из-за этого размер ответственности вырос до 500 млн рублей. И несмотря на тот факт, что количество украденных строк информации уменьшается, статистика все равно остается пугающей. По данным Роскомнадзора, в 2025 году в сеть попали 52 млн записей, тогда как в 2024 году – свыше 710 млн.

По мнению властей, изменения в законодательстве должны стать стимулом для операторов ПДн менять подходы к кибербезопасности и защите информации. О ключевых из них рассказал Эдуард Герман, коммерческий директор компании «Анлим», центра компетенций по информационной безопасности.

Для начала вернемся к теме штрафов. С момента принятия нового закона прошло уже больше полугода, однако публичных кейсов применения в все еще нет.

«Если вы откроете СМИ, то не увидите там заголовков «Компания X оштрафована на 500 миллионов». Почему так? Сейчас мы наблюдаем эффект «затишья перед бурей». Отсутствие публичных кейсов не значит, что закон не работает. Регулятор нарабатывает железобетонную доказательную базу, чтобы не проиграть первые показательные суды. И бизнес это прекрасно понимает – никто не хочет стать тем самым первым прецедентом», – рассказал Эдуард Герман.

Страх организаций, несмотря на отсутствие наказаний, вынуждает их вносить изменения в работу с кибербезопасностью. Один из них – переход от действий на «бумаге» к реальным. Если раньше многие покупали средства защиты, чтобы просто пройти аттестацию (комплаенс), то сейчас под угрозой потери процента от выручки. Компании внедряют центры мониторинга, проводят регулярные киберучения и даже платят «белым хакерам» за поиск уязвимостей. Теперь директорам нужны не отчеты, а стопроцентные гарантии отсутствия угроз взлома.

Второе изменение заключается в том, что переход на отечественные решения (NGFW, SIEM) заставляет организации проводить тотальные инвентаризации.

«Многие впервые за 10 лет реально узнали, какие серверы у них работают, где лежат забытые базы данных, и кто имеет к ним доступ. А порядок в инфраструктуре – это первый и самый важный шаг к снижению числа утечек», – отметил Эдуард Герман.

К тому же компании проводят генеральную уборку данных, чтобы снизить базу потенциального штрафа. Как считает эксперт, принцип «собираем все подряд, вдруг пригодится маркетологам» уже не так актуален для организаций. Ведь теперь, если хранишь меньше информации, тем ниже риск компрометации со стороны злоумышленников.

Сегодня информация для существования организации играет значимую роль. Поэтому важно обеспечить ее конфиденциальность, целостность и доступность. Для этого поможет выстраивание системы защиты данных, которая состоит из организационных, технических и нормативных мероприятий. Однако сил внутренней команды не всегда хватает, поэтому можно обратиться к внешнему подрядчику. Она поможет выстроить инфраструктуру, которая защищает критические для организации данные, учитывает внутренние процессы и не расходует бюджет впустую.

2026-03-20 16:56 Статьи