Полмиллиарда за утечку: Минцифры предложило потолок оборотного штрафа

Полмиллиарда за утечку: Минцифры предложило потолок оборотного штрафа

Полмиллиарда за утечку: Минцифры предложило потолок оборотного штрафа

Верхний предел для оборотных штрафов за утечки персональных данных может составить 500 млн руб., минимальный — 5 млн руб. Минцифры прописало суммы в законопроекте об оборотных штрафах. Инициатива может привести к “дроблению” российского бизнеса, предупреждают эксперты.

О последней доработке проекта закона об оборотных штрафах за утечки пишет “Ъ”.

Размер штрафа в текущей версии документа предусмотрен в диапазоне от 5 млн до 500 млн руб.

“Верхний потолок” предусмотрен в случае, если компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора, например скрывала инцидент.

Штраф будет рассчитываться от размера суммы выручки компании за календарный год, предшествующий году, в котором был выявлен инцидент.

Если инициативу примут, закон должен вступить в силу в сентябре 2023 года.

Крупные штрафы призваны повысить уровень обеспечения безопасности обработки персональных данных, говорит директор по консалтингу ГК InfoWatch Ирина Зиновкина.

“Раньше было дешевле заплатить штраф, чем внедрить средства защиты, если утечка персональных данных не влечет репутационных рисков”, — объясняет эксперт.

Инициатива стимулирует компании “провести ревизию того, что необходимо сделать в части защиты данных, и, возможно, где-то усилить меры безопасности”, считает исполнительный директор “Кросс технолоджис” Лев Фисенко.

Однако открытым остается вопрос, что будет с государственными организациями.

“Инциденты с утечками баз данных возникают и у них, будут ли налагаться аналогичные штрафные санкции и каким образом они будут рассчитываться, если у некоммерческих организаций нет оборотных средств и, соответственно, выручки?” — говорит он.

Напомним, только на прошлой неделе стало известно о возможной крупной утечке баз Госуслуг. До этого в Сеть попали данные Московской электронной школы, хотя мэрия опровергает взлом.

Введение оборотных штрафов для бизнеса может привести к “дроблению компаний”, чтобы сократить базу в случае возможных утечек, в том числе по региональным подразделениям или сфере деятельности, считает источник “Ъ” в одной из ИТ-компаний.

“Так, крупная компания может разделить доставку, профильные сервисы и основной бизнес, чтобы выручка каждого отдельного юрлица заметно уменьшилась и, соответственно, процент от нее был ниже”, — отмечает он.

Напомним, Минцифры еще весной заявило о намерении ввести оборотные штрафы для компаний, допустивших утечку персональных данных.

В первой редакции законопроекта предлагалось штрафовать компанию на 1% от годовой выручки за сам факт утечки и на 3%, если она не сообщила о ней вовремя. В последней редакции документа такой порядок штрафа предусматривается только для компаний, допустивших утечку более 100 000 записей.

Минцифры также предлагает поднять штрафы за утечки данных о здоровье, национальности, судимости, политических взглядах и сведениях об интимной жизни.

Добавим, согласно свежему исследованию, российские компании осознают высокие риски потери персональных данных, но не все готовы инвестировать в их защиту.

Хакеры угоняют WhatsApp руководителей и требуют перевести деньги

Мошенничество с письмом от директора вышло на новый уровень. Теперь злоумышленники не просто подделывают имя руководителя в письме, они перехватывают его WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) и рассылают сообщения от лица настоящего владельца аккаунта.

Новую схему, получившую название Boss Scam, описали специалисты, расследующие киберинциденты. Она сочетает социальную инженерию, технику сторонней загрузки DLL и кражу сессий WhatsApp Web.

Всё начинается с сообщения, якобы отправленного от имени регулятора или госоргана. Жертве предлагают срочно ознакомиться с документами или выполнить требования, прикладывая ZIP-архив. Внутри — исполняемый файл и DLL-библиотека. После запуска Windows автоматически подгружает вредоносную DLL, позволяя малвари закрепиться в системе.

 

Дальше цель меняется. Вместо шифрования файлов или уничтожения данных злоумышленников интересует активная сессия WhatsApp Web. Если она найдена, атакующие получают возможность читать переписку и отправлять сообщения от имени руководителя, не обходя двухфакторную аутентификацию на смартфоне.

Именно здесь начинается самое опасное. Финансовый отдел получает вполне привычное сообщение от генерального директора с просьбой срочно перевести деньги или изменить банковские реквизиты. Поскольку сообщение приходит с настоящего аккаунта, доверие к нему значительно выше, чем к обычному фишинговому письму.

В некоторых вариантах атаки вредонос также изменяет локальные контакты на заражённом компьютере, подменяя номер злоумышленника именем руководителя. Это помогает сохранить иллюзию подлинности даже после завершения угнанной веб-сессии.

Эксперты предупреждают, что атака нацелена не столько на ИТ-инфраструктуру, сколько на бизнес-процессы компаний. Поэтому защититься одним антивирусом не получится.

Специалисты рекомендуют подтверждать любые срочные платежные поручения через независимый канал связи (например, по телефону или лично), не запускать неизвестные EXE-файлы из мессенджеров, контролировать подключенные устройства в WhatsApp Web, а также отслеживать подозрительную загрузку DLL и попытки кражи пользовательских токенов.

RSS: Новости на портале Anti-Malware.ru