Почему большинство компаний имеют низкий уровень зрелости защиты персданных

По данным консалтинговой компании «Б-152», 70% российского бизнеса не готово к новым оборотным штрафам за утечку персональных данных. Формальный подход к обеспечению ИБ, нехватка бюджетов и кадров тормозят реальное соответствие требованиям нового законодательства, считают эксперты. О том, какие меры следует принять компаниям, чтобы избежать штрафов, – в материале RSpectr.

ПОСРЕДСТВЕННОЕ ОТНОШЕНИЕ

Около 70% компаний не готовы к оборотным штрафам до 3% выручки, которые начали действовать с 30 мая 2025 года, говорится в ежегодном исследовании «Зрелость защиты персональных данных в условиях новых требований», проведенном «Б-152».

Многие организации действительно не готовы к штрафам, подтвердили RSpectr в пресс-службе Ассоциации больших данных (АБД).

Пресс-служба, Ассоциация больших данных:

– Штраф за допущение первой утечки является достаточно высоким для большинства компаний и при этом не зависит от мер по защите, которые они принимали.

В АБД считают, что было бы правильным распространить как минимум смягчающие обстоятельства на первую утечку, чтобы простимулировать компании на инвестиции в ИБ: текущая редакция КоАП мотивирует бизнес исключительно на то, чтобы заложить штраф за утечку в рисковый бюджет.

Реальный показатель будет даже выше 70%, если говорить о любом из нарушений в сфере персональных данных, за которое можно получить штраф, считает амбассадор Ассоциации компаний по защите и хранению персональных данных Сергей Кормилицин.

По его мнению, до введения новых штрафов большинство компаний, особенно малый и средний бизнес, относились к защите персданных посредственно, не выделяя на это деньги и не выполняя даже элементарных действий. Не подавали уведомление о начале обработки данных в Роскомнадзор, не имели базового набора документов.

Сергей Кормилицин, Ассоциация компаний по защите и хранению персональных данных:

– Большая часть компаний думают, что «отделались» подачей уведомления в Роскомнадзор и обновлением политик на своих сайтах, но закон предъявляет намного больше требований, в том числе к внутренним процессам и регламентам работы с данными.

Основная сложность в выполнении требований регуляторов по защите персданных – нехватка кадров и бюджетов, считает GR-специалист «СёрчИнформ» Дмитрий Вощуков. В основном с этим сталкивается малый и средний бизнес, уточняет эксперт.

Дмитрий Вощуков, «СёрчИнформ»:

– Однако даже малые организации занимаются ИБ по мере возможностей. В 82% таких компаний есть ответственные за ИБ, а в 44% это профильный ИБ-специалист или служба. Конечно, небольшим компаниям зачастую требуется экспертная внешняя помощь, чтобы сделать защиту действительно эффективной.

Оценка «Б-152» объективна, поделился в беседе с RSpectr советник практики интеллектуальной собственности «ЭБР» Артем Евсеев. По его мнению, до недавнего времени компании ограничивались формальными документами и минимальными мерами безопасности.

Сложность в подготовке к новым требованиям также обусловлена нехваткой сложившейся практики правоприменения, что порождает правовую неопределенность для бизнеса, уверен юрист.

Артем Евсеев, «ЭБР»:

– Чтобы повысить готовность бизнеса к новым требованиям законодательства, компаниям следует провести комплексный аудит. Это можно решить как собственными силами, так и с привлечением опытных внешних специалистов.

Необходимо тщательно проанализировать текущие процедуры обработки данных, выявить критические риски и устранить их до того, как регулятор начнет проверки и назначение штрафов. Важно также актуализировать локальные акты, политики конфиденциальности, согласия на обработку персданных и обеспечить регулярное обучение сотрудников, обращает внимание Артем Евсеев.

Отдельное внимание, по его мнению, стоит уделить внедрению автоматизированных решений и систем мониторинга, которые позволят компаниям оперативно выявлять нарушения и быстро реагировать на инциденты.

«Такой подход поможет не только снизить вероятность нарушений, но и будет учтен регуляторами в случае расследований, что позволит минимизировать финансовые и репутационные потери», – подчеркнул эксперт.

ИНВЕСТИЦИИ В УСТОЙЧИВОСТЬ

Компаниям стоит сосредоточиться на выполнении базовых требований законодательства. В первую очередь это подача уведомления в Роскомнадзор, наличие на сайте оператора необходимых документов, в том числе политики обработки персональных данных, обращает внимание архитектор департамента соответствия требованиям информационной безопасности Infosecurity (ГК Softline) Александр Метальников.

Следующим шагом, по его словам, должно стать детальное изучение процессов обработки данных внутри компании: анализ состава собираемых персональных данных с целью их минимизации, если это возможно.

Александр Метальников, Infosecurity:

– Особое внимание следует уделить готовности компании к инцидентам, связанным с утечками. Учитывая сжатые сроки реагирования, у сотрудников, ответственных за ИБ, должно быть четкое понимание действий: кто, что и в какие сроки должен предпринимать в случае инцидента.

Проблема в том, что значительная часть компаний по-прежнему предпочитает игнорировать инциденты утечек данных, не уведомляя ни регуляторов, ни пострадавших клиентов, – продолжил руководитель отдела защиты брендов «Кросс технолоджис» Сергей Трухачев. В результате, по его мнению, растет количество вторичных атак и фишинг, основанный на ранее скомпрометированных данных.

Сергей Трухачев, «Кросс технолоджис»:

– Самое важное – признать, что информационная безопасность и защита персональных данных – это не техническая формальность, а критически важный элемент устойчивости бизнеса.

Эксперт рекомендует выстраивать партнерства с внешними сервисами, специализирующимися на мониторинге угроз, в том числе в даркнете и фишинговом сегменте (DRP-сервисы). Это позволит быстро выявлять утечки персональной информации и блокировать попытки их эксплуатации, а также вовремя уведомлять регуляторов, тем самым снижая штрафные риски и угрозы в отношении клиентов.

Ведущий архитектор ИБ MONS (ГК «КОРУС Консалтинг») Елена Скалозубова рекомендует бизнесу заложить бюджет на приведение ИБ-систем и систем по работе с персональными данными в соответствие с законодательством.

Елена Скалозубова, MONS:

– Это может обойтись от 0,1 до 0,5% от выручки компании, но и защитит от штрафа до 3%, который часто кратно выше. Новые штрафы – еще один стимул перейти от «бумажной» защиты данных к реальной. Бизнесу стоит воспринимать это как инвестицию в свою устойчивость и репутацию.

Компаниям следует снижать риски за счет внедрения практик ИБ на всех уровнях производства, отметил технический директор ИТ-экосистемы «Лукоморье» («РТК ИТ плюс») Алексей Щербаков.

Также, по его словам, необходимо отказаться от избыточного хранения данных. Хранение «на всякий случай» – это прямой путь к штрафам. Нужно удалять неактуальные данные, автоматизировать процессы удаления и обезличивания.

Алексей Щербаков, «РТК ИТ плюс»:

– Если у компании нет достаточных ресурсов на обеспечение собственной ИБ-инфраструктуры, разумно делегировать часть задач защищенным облачным сервисам с проверенной репутацией.

Стоит рассмотреть вопрос не только о штрафах, но и о персональных компенсациях для граждан, чьи данные были утеряны, особенно если пострадавший заявил о таком требовании, – полагает директор направления «Информационная безопасность» компании «Рексофт» Сергей Бабкин. Он считает, что минимальные компенсации могли бы стать справедливым решением, поскольку ущерб наносится в первую очередь гражданину, а не государству.