Штрафы за утечку сведений о здоровье могут ужесточить

Штрафы за утечку сведений о здоровье могут ужесточить

Штрафы за утечку сведений о здоровье могут ужесточить

Минцифры предлагает поднять штрафы за утечки данных о здоровье, национальности, судимости, политических взглядах и сведениях об интимной жизни. Новелла содержится в новой версии законопроекта об оборотных штрафах за утечки ПДн, который обсуждают с весны.

О предложении поднять штрафы за потерю данных специальной категории пишут “Ведомости”. Утечка таких ПДн будет считаться отягчающим обстоятельством.

По словам представителя Минцифры, пункт о более жесткой ответственности за утечки отдельных категорий данных обсуждается министерством с отраслью с лета.

"Такие ПД относятся к наиболее чувствительным, поэтому мы добавили этот пункт в перечень отягчающих обстоятельств", — отметил он.

К спецкатегории относятся данные о состоянии здоровья, о наличии судимости, религиозных убеждениях и тому подобное, поясняет бизнес-консультант по информационной безопасности (ИБ) Positive Technologies Алексей Лукацкий.

К такой информации также относятся данные о расовой и национальной принадлежности, политических взглядах, интимной жизни, добавляет партнер адвокатского бюро "Юрлов и партнеры" Глеб Ситников.

Биометрические данные — это биометрия лица, отпечатки пальцев и все те сведения, которые характеризуют физиологические и биологические особенности человека.

Пока не сообщается, как именно факт утечки специальной категории данных будет влиять на решение о сумме штрафа.

Рост утечек начался весной. Тогда в сеть выложили данные сервисов “Яндекс.Еда” и Delivery Club, а также медицинской лаборатории “Гемотест”. Сервисы доставки оштрафовали на 60 тыс. рублей, а персональные данные из медцентра оценили в 0,2 копейки за клиента.

Из других нововведений последней версии законопроекта об утечках — смягчающие обстоятельства. К ним Минцифры предлагает отнести компенсацию большинству пострадавшим от утечек и добровольный аудит защищенности данных.

Минцифры весной заявило о намерении ввести оборотные штрафы для компаний, допустивших утечку персональных данных. В первой редакции законопроекта предлагалось штрафовать компанию на 1% от годовой выручки за сам факт утечки и на 3%, если она не сообщила о ней вовремя.

В последней редакции документа такой порядок штрафа предусматривается только для компаний, допустивших утечку более 100 000 записей.

Законопроект критикует Ассоциация больших данных (АБД), в которую входят интернет-компании, операторы связи и банки. Свои замечания ассоциация направила в Минцифры. Бизнес просит министерство пересмотреть размеры штрафов в сторону их уменьшения.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Каждый десятый сотрудник в России светит рабочую почту на сторонних сайтах

Специалисты BI.ZONE Brand Protection проверили около 700 тысяч корпоративных аккаунтов в российских компаниях и выяснили тревожную вещь: 9% сотрудников используют рабочую почту для регистрации на сторонних сервисах, причём часто никак не связанных с их работой.

И тут кроется серьёзная угроза: каждый пятый из таких пользователей ставит один и тот же пароль сразу в нескольких местах. Для киберпреступников это подарок: нашли логин и пароль в утечке — и получили доступ к корпоративным системам.

По статистике, именно с этого начинается треть (33%) кибератак на компании. Год назад было меньше — 27%.

«На теневых форумах базы с логинами и паролями выкладывают регулярно, иногда даже бесплатно — ради идеологии, — говорит Дмитрий Кирюшкин, руководитель BI.ZONE Brand Protection. — И если пароль от стороннего ресурса совпадает с корпоративным, то атака — дело времени. Особенно опасно, когда речь идёт об учётках администраторов или доступах к чувствительной информации».

Что ещё усугубляет ситуацию:

  • у одного ИТ-специалиста в компаниях обычно от 3 до 7 привилегированных учёток;
  • в 30–40% случаев у таких учётных записей одинаковые пароли;
  • пароли часто не меняют годами, а доступы после увольнения сотрудников не всегда отключают.

Помимо прямого взлома, найденные корпоративные почты злоумышленники могут использовать для фишинга — рассылать письма от имени компании. Результат предсказуем: удар по репутации.

Что делать? Эксперты советуют простое:

  • не использовать рабочую почту для регистрации на «левых» сайтах;
  • если всё же нужно — ставить сложный и уникальный пароль;
  • внедрять PAM-системы для управления админскими учётками, ротации паролей и автоматического отзыва прав;
  • мониторить тёмный веб с помощью DRP-решений, чтобы вовремя узнать о свежих утечках и сбросить скомпрометированные пароли.

BI.ZONE напоминает: в мире, где автомобили становятся «компьютерами на колёсах», а рабочие почты светятся на форумах даркнета, кибергигиена сотрудников — это уже не «совет», а реальная линия обороны для бизнеса.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru