Журнал "Information Security/ Информационная безопасность" #3, 2025

l Утечка содержит данные, совпадаю- щие со скриншотами, которые предо- ставил оператор. l Данные размещены на ресурсе, свя- занном с оператором (например, опуб- ликованы на его собственном сайте). Причины утечек персональных данных Абсолютное большинство (90%) инци- дентов происходило в результате дей- ствий злоумышленников. Утечки, вызванные внешним или внутренним воздействием злоумышленников 1. Несанкционированный доступ без уточнения вектора атаки. В таких случаях в судебных решениях использовались общие формулировки "хакерская атака" или "взлом". 2. Хакерская атака из-за эксплуатации уязвимостей ПО. Среди них назывались: уязвимости популярных СМS, платформ для интернет-магазинов и других онлайн- сервисов; уязвимости в системах управле- ния базами данных (например, MySQL); ошибки в конфигурации веб-сервера, поз- воляющие перехватывать данные; уязви- мости в VPN, в ПО из категории Open Source, в устаревшем (не обновленном) ПО и даже в тестовом контуре разработки. 3. Получение доступа к учетной записи администратора или иного пользователя с правами доступа к данным. В судебных решениях упоминались следующие спо- собы: похищение аутентификационных данных; взлом через личные данные сотрудника; доступ через фишинговую рассылку; создание пользователя с административными правами через команды АРІ; подбор логина и пароля, в том числе с использованием учетных данных, ранее скомпрометированных в утечках других компаний. 3. Внедрение вредоносного кода в систему (SQL-инъекция, технические закладки, XSS-атаки и другие методы). 4. Атаки типа DDoS. Вероятно, такие атаки сопровождались действиями, направленными на обход мер защиты и доступ к данным, поскольку сами по себе они к утечке не приводят. 5. Эксплуатация уязвимостей в инфра- структуре подрядчиков (например, под- рядчиков, обслуживающих ИТ-инфра- структуру, или хостинг-провайдеров). 6. Недобросовестные действия сотруд- ников (как действующих, так и бывших). Утечки, не связанные с умышленными действиями 1. Нарушение локальных нормативных актов компании в сфере защиты персо- нальных данных. 2. Недостаточный уровень осведом- ленности сотрудников в вопросах инфор- мационной безопасности. 3. Неосторожные действия сотрудников. 4. Сбои в работе программного обес- печения. 5. Ошибки при настройке уровней доступа. 6. Ошибки в коде, приведшие к раз- мещению клиентских данных в публич- ном репозитории (например, в GitLab). 7. Наличие уязвимостей в используе- мом программном обеспечении (без при- знаков злонамеренного использования). Аргументы и стратегии компаний в судах Какие аргументы не помогли избежать ответственности за утечку: l "Это была хакерская атака". Факт несанкционированного доступа сам по себе не имеет значения для квалификации нарушения и не освобождает от ответ- ственности. Суды указывали, что оператор не принял все зависящие от него и доста- точные меры для защиты данных. l "Виноват подрядчик". Суды при- меняли положения ч. 5 ст. 6 Закона о персональных данных, согласно которой оператор несет ответственность за дей- ствия лица, которому поручил обработку. l "Данные не являются персо- нальными". Этот довод часто звучал при утечке комбинаций ФИО и телефо- на/email. Суды не соглашались, опираясь на широкое определение персональных данных. Даже email сам по себе призна- вался персональными данными для целей квалификации утечки. l "Срок давности истек". Утечка квалифицируется как длящееся право- нарушение, и срок отсчитывается с даты ее выявления регулятором. Судебная практика Постановление мирового судьи по делу № 05–486/468/2022 от 14.12.2022. С тестового стенда системы компании произошла утечка. Компания указала, что причиной стали действия сотрудни- ков подрядной организации, отвечающей за поддержку стенда. Данные в системе не содержали полных идентификацион- ных признаков, а набор цифр и симво- лов, таких как номер телефона и адрес электронной почты, сам по себе не является персональными данными. Суд не согласился с этими доводами. С тестового стенда была выгружена таблица с архивными сведениями о кли- ентах (ФИО, пол, телефон и электронная почта), которые суд квалифицировал в качестве персональных данных. Аргу- менты о вине подрядчика были откло- нены: суд указал, что наличие договор- ных отношений не освобождает опера- тора от ответственности. Итог: штраф в размере 60 тыс. руб. Смягчающие обстоятельства и действия, которые помогли снизить ответственность Смягчающие обстоятельства были применены в 58% дел. В их отсутствие в 99% случаев назначался штраф. Самые частые смягчающие факторы: совершение правонарушения впервые (66 дел), признание вины (53), устране- ние нарушений (45) и статус МСП (34). Наиболее эффективной стратегией было продемонстрировать суду комплекс мер, принятых на трех этапах: 1. Меры до инцидента. Суд учитывал, были ли до инцидента приняты "необхо- димые и достаточные" технические и организационные меры по защите персональных данных. Например, ком- пании приобщали к делу копии внутрен- них документов, подтверждающих выполнение требований Закона о пер- сональных данных. Суд также принимал во внимание наличие и использование средств защиты информации. 2. Реакция на инцидент. Суды опера- тивно оценивали действия по реагиро- ванию на инцидент и минимизации нега- тивных последствий. Среди таких дей- ствий указывались, например, уведом- ление Роскомнадзора, проведение внут- реннего расследования, ограничение доступа к скомпрометированным систе- мам, смена паролей и технологических учетных записей, изоляция затронутых компонентов инфраструктуры, а также подача заявления о преступлении в пра- воохранительные органы, обращение в ФСБ России и НКЦКИ. 3. После инцидента. В судебных реше- ниях также указывались меры по усиле- нию безопасности после инцидента. Например, аудит ПО, оценка рисков, закупка дополнительных средств защиты (WAF, IDS), обновление ПО и антивирус- ных баз, найм специалистов по ИБ. Самым сильным аргументом для пол- ного прекращения дела было признание компании потерпевшей стороной по уго- ловному делу. В двух делах, где компа- нии представили соответствующее постановление, административное пре- следование было прекращено за отсут- ствием состава правонарушения. Полная версия обзора доступна на сайте компании Privacy Tech 2 . l • 17 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ www.itsec.ru 2 https://privacy-tech.ru/news/otvetstvennost-za-utechki-per onalnyh-dannyh-obzor-sudebnoj-praktiki-za-2022-2025-gg Ваше мнение и вопросы присылайте по адресу is@groteck.ru