Риск утечки информации из компаний продолжает расти. В первом полугодии 2015 года число таких случаев выросло на 10 процентов по сравнению с прошлым годом. 90 процентов утечек приходится на персональные данные сотрудников и клиентов компаний (данные Аналитического центра InfoWatch).
Утечка персональных данных — это не только ущерб компании, но и риск штрафа в случае проверки Роскомнадзора. Он получает все больше жалоб и все чаще штрафует компании (см. диаграмму 1). Штраф за нарушение правил сбора, хранения и использования персональных данных составляет максимум 10 тыс. рублей (ст. 13.11 КоАП РФ). Но совсем скоро он может вырасти. Госдума приняла в первом чтении проект, который поднимает штраф до 50 тыс. рублей. А в особых случаях он может составить до 300 тыс. рублей — при незаконной обработке данных о судимости, национальности, здоровье и др. Это еще одна причина уделить внимание защите информации.
Первым среди популярных нарушений в работе с персональными данными Роскомнадзор называет непринятие мер для сохранности сведений. Это случаи, когда персональные данные попали в чужие руки, потому что компания не защитила информацию паролями, антивирусами, выложила бумажные документы на всеобщее обозрение и т. п.
За год существенно выросло число утечек по вине внешних злоумышленников (см. диаграмму 2). Это могут быть хакеры, которые с помощью вирусов взламывают базы компаний. Вирусы попадают на компьютер под видом писем из налоговой, фондов, от приставов, контрагентов и т. д. Поэтому стоит проинструктировать всех сотрудников, чтобы они не открывали вложения и ссылки в подозрительных письмах, а в случае сомнений созванивались с отправителем и уточняли, действительно ли он высылал письмо.
Среди внутренних нарушителей главную опасность для персональных данных представляют рядовые сотрудники, на их долю приходится более половины всех утечек (см. диаграмму). Например, недобросовестные работники продают клиентские базы конкурентам. Против этого можно бороться организационными мерами. Если сотруднику информация не нужна для выполнения его обязанностей, доступ к ней безопаснее закрыть. Работников, которые нарушили правила работы с личными данными, компания вправе привлечь к дисциплинарной и материальной ответственности (ст. 90 ТК РФ).