Любой бизнес в зоне риска. Чем рискуют компании в случае кибератаки и что делать, если такое все же случилось?

Кибератаки, утечки информации, продажа баз данных — это ежедневно случается с сотнями компаний по всему миру. И Беларусь, к сожалению, не исключение: наша страна занимает второе место среди стран СНГ по количеству кибератак. Чем они опасны для бизнеса и что делать, если такое все же случилось в вашей организации? Об этом узнали у директора компании «Экономические споры» Сергея Белявского и юриста Наталии Табала.

За 2025 год совершено 18 977 киберпреступлений, а ущерб граждан и компаний составил более 54 млн рублей. В сеть ежегодно утекают данные миллионов физических лиц.

— Не смотря на такие впечатляющие цифры, многие компании по-прежнему считают, что в зоне риска находятся только крупные компании, обрабатывающие большое количество информации о клиентах. На самом деле это серьезное заблуждение: в зоне риска абсолютно любая компания, которая осуществляет обработку данных физических лиц, — рассказывает Сергей Белявский.

Приведем пример. Представьте, что есть небольшая компания, где немного сотрудников и клиентов, данные хранятся в CRM-системе либо в иных базах данных. Доступ к ним имеют только «свои», разработана политика конфиденциальности. Что еще требуется? Все и так под защитой и ничего не случится — так рассуждают очень многие. Но вот однажды оказывается, что злоумышленники получили доступ к данным клиентов, а потом выясняется, что данные использованы для получения кредитов и кражи денежных средств.

Какие последствия могут быть?

Несоблюдение требований законодательства о защите данных может повлечь для компании:

• Финансовые потери. Кроме риска получить административный штраф, есть серьезный риск иска от пострадавших от утечки данных клиентов о возмещении морального вреда.

Статьей 23.7 КоАП предусмотрена ответственность для оператора за несоблюдение мер по о защите персональных данных в размере до 50 базовых величин (2250 рублей на сегодняшний день).

— Признаем, что штраф довольно небольшой и многие компании считают, что проще заплатить штраф, чем соблюдать все меры, предусмотренные законом. Поэтому более серьезную опасность представляют требования потерпевших о взыскании морального вреда и убытков (если они имеют место), — рассказывает Наталия Табала.

Как правило, компании просто сообщают клиентам о произошедшей утечке, извиняются, советуют поменять логины и пароли. Но многим клиентам этого недостаточно, поскольку доступ злоумышленников к их адресам, датам рождения, иным данным они расценивают как серьезное потрясение.

Согласно нормам гражданского кодекса, закона «О защите персональных данных», граждане имеют полное право обратиться к оператору, допустившему утечку с иском о защите своих прав. И здесь уже речь может идти о гораздо больших суммах.

Моральный вред можно оценивать и в 10, и в 20 тыс. рублей, и больше — ограничений нет.

• Блокировка работы на период до устранения нарушений. После произошедшей утечки Национальный центр по защите персональных данных может проверить компанию на предмет соблюдения требований закона по принятию мер по защите персональных данных.

— Если выяснится, что компания таких мер не принимает, процесс обработки персональных данных и пользование информационными ресурсами будет приостановлено до устранения нарушений, а это опять финансовые потери, — продолжают юристы.

• Репутационные потери — сегодня граждане довольно серьезно относятся к защите своих данных и с осмотрительностью относятся к компаниям, которые не заботятся об их сохранности.
• Затраты на восстановление IT-инфраструктуры, обновление ПО, приобретение антивирусных программ.

Все вышеперечисленные последствия касаются непосредственно самой компании. Но риски существуют и для должностных лиц, осуществляющих обработку персональных данных.

Чем рискуют лица, которые обрабатывают персональные данные?

К ним можно отнести руководителя компании, его заместителей, начальников структурных подразделений, иных работников.

Так, статья 203−2 УК предусматривает ответственность для лиц, осуществляющих обработку персональных данных, за несоблюдение мер по защите персональных данных.

— Ответственность по указанной статье наступает за неосторожное причинение вреда, которое может стать следствием игнорирования требований закона о принятии мер по защите данных, — поясняет Сергей Белявский.

Чтобы не нести потери и предотвратить утечки данных, бизнес должен знать и соблюдать требования законодательства о защите данных. Каждая компания должна внедрять целый комплекс защитных мер:

• разработать политику информационной безопасности и кибербезопасности;
• разработать политику по обработке персональных данных;
• установить режим коммерческой тайны;
• осуществлять техническую и криптографическую защиту информации, проводить аттестацию информационных систем;
• хранить данные только в информационных системах, имеющих аттестат безопасности;
• регулярно обновлять программное обеспечение, использовать антивирусные программы, систематически осуществлять резервное копирование данных;
• использовать защищенные каналы передачи данных;
• внедрять многофакторную аутентификацию для доступа к системам, где хранится и обрабатывается информация, в том числе персональные данные, использовать в качестве паролей надежные комбинации;
• определить порядок доступа сотрудников компании к базам данных;
• проводить обучение персонала по работе с данными, которые обрабатываются в компании;
• в контракты с контрагентами, работниками включать условия о конфиденциальности и ответственность за несоблюдение установленных требований;
• разработать алгоритм действий при утечках данных и кибератаках.

Эти действия помогут предотвратить утечку данных и потерю конфиденциальной информации. Если меры по защите информации не приняты либо приняты, но утечка данных все равно произошла, необходимо действовать оперативно.

— Как правило, быстрое реагирование на инцидент на 60% снижает негативные последствия, — добавляет Наталия Табала.

Причины утечки данных

Они бывают внутренние и внешние. К внешним мы относим кибератаки, взломы сайтов, внедрение вирусных программ злоумышленниками.

Но гораздо чаще утечки данных происходят из-за внутренних причин, к которым относятся:

• несоблюдение мер по защите данных в компании (отсутствие политик информационной безопасности, обработки персональных данных, надежных паролей у системам, где хранятся данные, небрежность сотрудников, предоставление логинов и паролей сотрудниками компании друг другу);
• незаконное распространение данных непосредственно работниками компании (слив баз данных, предоставление доступа в данным третьим лицам).

Для предотвращения внутренних причин руководителям бизнеса следует позаботиться об организации защиты данных в компании в целом и об установлении ответственности для каждого сотрудника, который эти меры не соблюдает.

А принятие комплексных мер по защите информации и выработка четкого алгоритма действий в случае произошедшего инцидента по утечке данных в компании на сегодняшний день является необходимым базовым требованием в работе каждой компании.

Утечка данных все-таки произошла: что делать?

Предлагаем алгоритм действий на первые 48 часов:

Шаг 1. Немедленно остановить распространение утечки — первые часы, как только об утечке стало известно.

Техническая служба компании должна провести действия по изоляции систем, в которых произошла утечка данных, отключению серверов, закрытию внешних портов, отключению подозрительных каналов передачи данных, блокировке учетных записей.

Шаг 2. Создание рабочей группы по инциденту.

Она займется определением масштаба утечки, сбором информации — кто обнаружил утечку, когда она произошла, какие данные ушли, какие системы затронуты, выявлением уязвимых систем обработки данных, ликвидацией последствий и созданием условий для предотвращения новых утечек.

В рабочую группу целесообразно включить представителей руководства компании, IT-специалистов, юристов, финансистов, HR, PR — специалистов.

При недостаточности компетенции непосредственно у работников компании, целесообразно обратиться к внешним специалистам — компаниям, которые оказывают помощь по организации работы с персональными данными, установлению режима коммерческой тайны, защите информации.

Шаг 3. Предпринять меры по уведомлению пострадавших.

Такое сообщение может быть направлено путем СМС-рассылки, размещено на интернет-сайте компании либо через иные доступные источники. Данная мера не просто формальность, это проявление заботы о клиентах, направленное на ликвидацию негативных последствий, а также предъявлению требований о возмещении морального вреда.

— Одним из требований законодательства в случае утечки данных является обязанность компании не позднее трех рабочих дней с момента, когда стало известно об инциденте, уведомить Национальный центр по защите персональных данных о произошедшей утечке данных, — рассказывают юристы.

Многие компании считают это требование «опасным». Регулятор узнает об утечке и накажет — так рассуждает бизнес. Но, как мы видим, штрафы за несоблюдение требований законодательства о персональных данных незначительны.Поэтому цель регулятора на сегодняшний день заключается не в суровом наказании, а скорее в разъяснении и предупреждении, выяснении причин утечек, выработке рекомендаций для предотвращения утечек в будущем. Материалы в правоохранительные органы передаются не во всех случаях. Таким образом, своевременное сообщение об утечке наоборот поможет уменьшить негативные последствия.

Если же регулятору станет известно об утечке от самих пострадавших — это только усугубит ситуацию для компании и тогда привлечение к ответственности неминуемо.