К нарушениям информационной безопасности приводит не только злой умысел, но и ежедневные рабочие привычки, которые кажутся безобидными. Отправка скана паспорта клиента в личный Telegram для «скорости», использование одного простого пароля для всех сервисов, подключение к рабочему серверу через публичный Wi-Fi — все это типичные примеры инцидентов. Узнайте, что можно отнести к нарушениям ИБ и как противостоять всем рискам.
Распространенные угрозы нарушения информационной безопасности
Угрозы нарушения ИБ организации сегодня чаще исходят не от внешних хакерских атак, а от действий сотрудников. Невинные на первый взгляд действия создают критические уязвимости.
Например:
Работа в обход регламентов. Сотрудник, недовольный медленным корпоративным сервисом, регистрируется в стороннем облачном хранилище или использует личный мессенджер для пересылки рабочих файлов. Данные уходят в неконтролируемые сервисы, к которым у администраторов компании нет доступа. Это прямое нарушение ИБ организации, ведущее к потере контроля над конфиденциальной информацией.
Успешный фишинг и социальная инженерия. Злоумышленники используют фейки (deepfake) для звонка от лица руководителя или создают фишинговые письма с помощью ИИ, неотличимые от реальных. Сотрудник, не прошедший регулярный тренинг, легко передает логины, пароли или совершает платеж мошеннику.
Пренебрежение обновлениями. Использование устаревшего ПО на рабочих и личных устройствах, подключенных к корпоративным ресурсам. Это оставляет открытыми известные уязвимости, для которых уже выпущены патчи. Взлом через такую «дыру» — частое последствие.
Неконтролируемое использование личных устройств. Сотрудник обрабатывает служебные данные на личном ноутбуке или телефоне без необходимых средств защиты (MDM, антивирус). При утере устройства или его заражении личным вредоносным ПО компрометируется корпоративная информация.
Небрежное обращение с данными. Самый массовый инцидент: сотрудник пересылает документ, содержащий персональные данные или коммерческую тайну, через незащищенный канал, ошибается в адресе или сохраняет файл на публичный ресурс. Часто это делается для увеличения скорости работы, но ведет к прямым убыткам и штрафам.
Эти угрозы объединяет одно — они реализуются из-за недостаточной осведомленности и отсутствия четких, соблюдаемых правил. Профилактика строится не на запретах, а на создании безопасной и удобной альтернативы.
Разработка многоуровневой системы IT безопасности и правовой защиты персональных данных
Обеспечиваем информационную и правовую безопасность для госучреждений и крупного бизнеса
Последствия нарушения правил информационной безопасности
Административная ответственность
Несоблюдение требований законодательства в области информационной безопасности ведет к существенным штрафам по КоАП. Ответственность несут как юрлица, так и ИП:
За использование неподходящих средств защиты. Согласно статье 13.12 КоАП, применение несертифицированных информационных систем и средств защиты информации, если для них требуется обязательная сертификация, является нарушением и может повлечь штраф для компании - от 50 000 до 100 000 рублей с возможной конфискацией несертифицированных средств.
За нарушения при работе с государственной тайной. Работа с информацией, составляющей гостайну, регулируется строже. Нарушение лицензионных условий (ч. 3 ст. 13.12 КоАП) грозит штрафом до 25 000 рублей для юрлица. Использование несертифицированных средств защиты такой информации (ч. 4 ст. 13.12 КоАП) — штрафом для компании до 100 000 рублей с конфискацией.
За утечку персональных данных. Ст. 13.11 КоАП предусмотрены самые серьезные санкции. Штрафы для ИП и компаний начинаются от 3 миллионов рублей (например, за утечку данных 1000-10000 человек) и могут достигать 15 миллионов рублей за масштабные инциденты или утечку специальных категорий данных. Повторное нарушение может привести к штрафу, исчисляемому в процентах от выручки, — до 3%, но не менее 20-25 млн рублей.
Дисциплинарная ответственность
Ответственность сотрудников за нарушение информационной безопасности начинается с дисциплинарных мер: замечания, выговора или увольнения. Конкретную меру выбирает работодатель, но она должна быть соразмерна проступку.
Привлечь сотрудника к такой ответственности за нарушение ИБ можно только при одновременном соблюдении условий:
1. Наличие утвержденных и доведенных до сотрудника правил. Все регламенты информационной безопасности (инструкции, политики) должны быть оформлены как локальные нормативные акты. Сотрудник обязан быть ознакомлен с ними под подпись при приеме на работу или при обновлении документов. Без этого доказать его вину практически невозможно.
2. Совершение конкретного нарушения. Действие или бездействие должно быть доказано. Примеры:
пересылка конфиденциальных данных через личный мессенджер вопреки прямому запрету в инструкции.
установка не поддерживаемого программного обеспечения, приведшая к заражению сети.
разглашение пароля коллеге или передача учетных данных третьим лицам.
умышленное отключение средств защиты информации.
3. Соблюдение процедуры привлечения. Работодатель обязан затребовать у сотрудника письменное объяснение. На основе докладной записки о нарушении и при отсутствии уважительных причин издается приказ о применении взыскания.
Уголовная ответственность
Нарушение правил информационной безопасности может перерасти из административного проступка в уголовное преступление. Это происходит, когда действия или бездействие лица, ответственного за эксплуатацию ИТ-систем, причиняют крупный ущерб или ведут к тяжким последствиям. Основная норма — статья 274 Уголовного кодекса «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации».
Ответственность наступает по двум составам, различающимся по тяжести:
Преступление, повлекшее крупный ущерб (ч. 1 ст. 274 УК). Под ущербом понимаются не только прямые финансовые потери, но и утрата коммерческой ценности данных, стоимость восстановления систем, упущенная выгода.
Преступление, повлекшее тяжкие последствия (ч. 2 ст. 274 УК). Квалификация ужесточается, если результатом нарушения стала, например, длительная остановка критической инфраструктуры (энергетика, транспорт), причинение вреда здоровью людей, наступление экологической катастрофы или дестабилизация работы государственных органов. Максимальное наказание — лишение свободы до пяти лет.
К уголовной ответственности могут привлечь не только внешнего злоумышленника, но и штатного сотрудника компании — системного администратора, инженера или руководителя, чье халатное или умышленное пренебрежение утвержденными правилами ИБ стало причиной масштабного инцидента. Это подчеркивает необходимость не только создания регламентов, но и обеспечения их неукоснительного исполнения и контроля.
Гражданская ответственность
Помимо санкций со стороны государства, компания-нарушитель обязана компенсировать вред, причиненный непосредственно пострадавшим лицам. Это прямое финансовое последствие, вытекающее из норм Гражданского кодекса (ст. 1064) и ФЗ от 27.07.2006 № 149-ФЗ.
В случае утечки информации ограниченного доступа (персональных данных, коммерческой тайны) лица, чьи права нарушены, вправе подать иск в суд. Основные виды требований:
Возмещение убытков. Истец должен доказать размер реального ущерба и упущенной выгоды, возникших из-за утечки. Например, компенсация средств, похищенных с карты после утечки данных, или потеря прибыли из-за раскрытия коммерческой тайны конкурентам. Согласно ч. 2 ст. 17 ФЗ №149-ФЗ, в возмещении может быть отказано, если само пострадавшее лицо нарушило требования по защите этой информации.
Компенсация морального вреда. Это наиболее частое последствие утечки персональных данных. Клиенты или сотрудники могут взыскать денежную компенсацию за пережитые нравственные страдания, вызванные раскрытием их частной жизни (ст. 150, 151 ГК). Суммы определяются судом индивидуально, но в совокупности по групповым искам могут быть значительными.
Важно: гражданско-правовая ответственность компании за нарушение информационной безопасности часто наступает независимо от ее вины. Компания может быть освобождена от нее, только если докажет, что вред возник вследствие непреодолимой силы или умысла самого пострадавшего.
Закон также устанавливает исключения для операторов связи и провайдеров хостинга (ч. 3, 4 ст. 17 ФЗ №149-ФЗ), если они лишь технически передавали или хранили информацию, не зная о ее незаконности. Однако это не освобождает от ответственности самого оператора ПДн.
Как найти источник утечек
Оперативное выявление источника утечки — ключ к минимизации ущерба и предотвращению повторных случаев нарушения информационной безопасности. Расследование требует системного подхода, сочетающего технические средства и организационные процедуры.
Следуйте этому алгоритму для эффективного расследования:
Активируйте инструменты проактивного мониторинга. Если внедрена DLP-система, проанализируйте ее журналы событий за период, предшествующий обнаружению утечки. Ищите попытки отправки конфиденциальных данных через неразрешенные каналы (веб-почта, мессенджеры), запись на внешние носители или печать. SIEM-система поможет выявить аномальную активность учетных записей.
Проведите цифровую криминалистику на конечных устройствах. При подозрении на конкретного сотрудника или рабочее место необходимо изъять компьютер для анализа. Изучите историю браузера, журналы приложений, метаданные файлов, записи в реестре. Важно: это должно происходить в рамках трудового законодательства и с согласия сотрудника, закрепленного в локальных актах.
Проанализируйте журналы доступа к информационным системам. Определите, кто и когда обращался к утекшим данным в вашей CRM, базе данных или файловом хранилище. Установите круг лиц, имевших доступ. Ищите аномалии — входы в нерабочее время, массовое скачивание, доступ с необычных IP-адресов.
Используйте возможности MDM/UEM для мобильных устройств. Если утечка предположительно произошла со смартфона или планшета, проверьте логи корпоративного MDM. Установите, какие приложения были активны, были ли попытки отключить политики безопасности, происходила ли передача файлов.
Проведите структурированные интервью с сотрудниками. После сбора технических свидетельств опросите вовлеченных лиц. Задавайте вопросы не обвинительно, а с целью восстановления хронологии событий. Пример: «Вчера в 15:30 система зафиксировала отправку документа. Какие рабочие задачи вы решали в это время и какие инструменты использовали?».
Привлеките специалистов по киберрасследованиям. Для сложных случаев, связанных с использованием стеганографии или продвинутым вредоносным ПО, требуется экспертиза профессионалов. Они могут восстановить удаленные файлы и доказать цепочку действий.
Разработка многоуровневой системы IT безопасности и правовой защиты персональных данных
Обеспечиваем информационную и правовую безопасность для госучреждений и крупного бизнеса
Как обеспечить защиту информационной безопасности
Нарушение политики информационной безопасности — системная проблема, которую нельзя решить разовым инструктажем. Защита строится на трех столбах: четкие правила, их внедрение в повседневные процессы и непрерывный контроль. Вот ключевые меры для формирования устойчивой системы:
Разработайте и формализуйте реальные политики. Создайте не абстрактный документ «для проверки», а практические регламенты, отвечающие на конкретные вопросы сотрудников. Что можно пересылать по почте? Как обмениваться большими файлами? Какие данные запрещено хранить на личном диске? Политика должна давать однозначные ответы и предлагать безопасные, удобные альтернативы. Например, вместо запрета на передачу файлов утвердите корпоративный файловый хост с шифрованием и настройте VPN для удаленного доступа.
Внедряйте осознанность через регулярное обучение. Ежегодного теста недостаточно. Внедряйте периодические короткие тренинги (раз в квартал) в формате микроленингов на актуальные темы: как распознать фишинг в корпоративном мессенджере, почему нельзя использовать один пароль для всех сервисов, как настроить двухфакторную аутентификацию. Используйте симуляции атак: отправляйте сотрудникам тренировочные фишинговые письма и анализируйте реакцию. Это превращает ИБ из набора запретов в понятный навык.
Внедрите технические средства контроля, которые учат, а только не блокируют. Системы DLP (Data Loss Prevention) и SIEM (Security Information and Event Management) — это инструменты профилактики. Настройте DLP так, чтобы при попытке отправить документ с паспортными данными в публичный мессенджер система не только блокировала действие, но и показывала сотруднику всплывающее окно с напоминанием о правильном, безопасном канале передачи (например, ссылкой на внутренний сервис). Это снижает сопротивление и формирует верные поведенческие паттерны.
Обеспечьте персональную ответственность. Каждый сотрудник, от стажера до генерального директора, должен подписывать обязательство о соблюдении политик ИБ. В трудовом договоре и должностных инструкциях явно пропишите ответственность за разглашение конфиденциальной информации. Это создает правовую основу для применения дисциплинарных мер в случае умышленного нарушения политики информационной безопасности.
Регулярно проводите аудит и тестирование. Раз в полгода или год инициируйте внутренний или внешний аудит защищенности (пентест). Проверяйте не только технические уязвимости, но и соблюдение регламентов сотрудниками. Анализируйте логи DLP и SIEM на предмет аномалий. Это позволяет выявить слабые места до того, как ими воспользуются злоумышленники, и скорректировать как политики, так и программу обучения.
Если вы хотите быть уверены в информационной безопасности своей организации, обратитесь к специалистам. Они оформят необходимые документы по ИБ проведут аудит и дадут рекомендации, которые помогут снизить риски для вашего бизнеса.
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFFvCoHa
Начать дискуссию