Защита данных на первом месте: как суд оштрафовал «Гемотест» за утечку 300 ГБ данных клиентов
Дата: 14.12.2023
Комментариев: 0
Недавно произошедший инцидент с утечкой персональных данных (а скорее всего не только персональные, а ещё и медицинские данные) в “Гемотесте”, одной из крупнейших медицинских лабораторий России, стал громким и поучительным примером проблем в сфере защиты персональных данных и в целом как лакмусовая бумажка выявила тотальные проблемы в ИТ сфере России. События разворачивались как сценарий кибертриллера в итоге которой “хакерская атака” (мой мнение что там был не хакер, а просто студент которому нечего было делать) привела к краже 300 ГБ данных, затрагивающих личную информацию миллионов клиентов. Этот прецедент не только высветил уязвимости в системах информационной безопасности, но и стал поводом для серьёзного правового разбирательства, завершившегося штрафованием “Гемотеста” на 60 тыс. рублей. Такой мизерный штраф просто курам на смех. Так же как и 250 рублей за превышение скорости на 40 км/ч (оплата скоростного проезда).
Этот случай явно демонстрирует, что на сегодняшний день вопросы защиты персональных данных выходят на первый план, а государство начинает более строго требовать соблюдения законодательных норм. В частности, Федеральный закон № 152-ФЗ, регулирующий хранение и обработку персональных данных, становится не просто формальным документом, но и инструментом для обеспечения безопасности граждан в цифровой сфере. Усиление государственного контроля в этой области не только повышает ответственность компаний за надежную защиту собранных данных, но и подчеркивает необходимость внедрения современных и эффективных технологий защиты.
История утечки данных в «Гемотесте»
Инцидент с “Гемотестом” привлек внимание не только своим масштабом, но и обстоятельств. Утечка данных составила поразительные 300 ГБ, затронув личную информацию миллионов клиентов: более 30 млн строк с персональными данными и 554 млн строк заказов с данными: ФИО, даты рождений, домашние адреса, номера телефонов, электронные почты, данные паспортов и состав заказов.
Кстати, в своем Telegram-канале я делюсь IT-советами для руководителей бизнеса, которые помогают узнать, где теряются деньги и как проверить системных администраторов.
“Гемотест” быстро начал внутреннее расследование, чтобы выяснить, как именно была осуществлена атака, и установить объем утекших данных. Компания также заявила о собственной оценке масштаба утечки, утверждая, что она была меньше, чем изначально сообщалось. Это подчеркивает, что “Гемотест” серьезно относится к инциденту и стремится минимизировать его последствия.
Правовые последствия для «Гемотеста»
Случай с “Гемотестом” перерос в серьезное правовое дело, итогом которого стало применение административных мер. Мировой суд Москвы вынес решение оштрафовать компанию на 60 тысяч рублей. Штраф был наложен в соответствии с частью 1 статьи 13.11 Кодекса об административных правонарушениях Российской Федерации (КоАП РФ), регулирующей нарушения в области обработки персональных данных. Суд пришел к выводу, что “Гемотест” не обеспечил адекватную защиту информации клиентов, что и привело к ее утечке. А по моему мнение вообще никто и не пытался ничего делать для защиты. Просто делали так, чтобы было комфортно работать не заботясь о защите данных вообще. Руководитель ИТ отдела не придерживался никаких инструкций правил (моё мнение) и наплевательски в целом относился к своим обязанностям ибо главная цель любого сотрудника в штате, это делать минимум работы, только с целью “Отчитаться перед начальсвом” (я называю это “очковтирательство”, в наше время звучит неоднозначно, но эта неоднозначность как то очень кстати подходит в данном случае).
Кроме того, суд приговорил самого хакера к 1,5 годам ограничения свободы за кражу данных клиентов «Гемотеста». Он взломал систему через удалённый сайт корпоративного телевидения. Но кто дал доступ к нему, непонятно до сих пор. При этом как я предполагаю, была обычная халатность именно ИТ отдела, а то и преднамеренный слив информации обиженным уволившимся сотрудником или даже работающим на тот момент. Да и в целом, там факт, что это стало технически возможно, говорит о том, что ИТ инфраструктуры была построена из ряда вон плохо и тут первое лицо кто должен отвечать, это именно ИТ директор (а не горе-хакер). А руководитель компании (генеральный директор по уставу) должен отвечать уже за то, что таким образом нанял сотрудников в компанию и так поставил задачи ИТ отделу.
Это решение имеет важное значение, подчеркивая серьезность нарушений в сфере защиты персональных данных. Федеральный закон № 152-ФЗ, известный как закон о персональных данных, предъявляет строгие требования к обработке, хранению и защите такой информации. В случае несоблюдения этих норм, компании могут столкнуться с административной ответственностью, что включает в себя значительные штрафы.
Ключевые положения ФЗ-152 включают:
Как мой опыт и наработки помогают предложить эффективное и экономичное решение:
С учетом текущих трендов и законодательных требований, наша компания стремится предложить решения, которые обеспечивают не только высокий уровень защиты данных, но и соответствуют экономическим и операционным потребностям клиентов.
Пример “Гемотеста” и последующие правовые разбирательства ясно демонстрируют важность строгого соблюдения законодательства о персональных данных. В условиях постоянно развивающегося цифрового мира и увеличивающихся угроз кибербезопасности, защита данных становится не только юридической обязанностью, но и критическим фактором для поддержания доверия клиентов и репутации компании.
Я призываю всех читателей, занимающихся вопросами информационной безопасности и защиты данных, серьёзно отнестись к текущим трендам и законодательным изменениям. Подход к защите персональных данных должен быть комплексным, сочетая в себе передовые технологии, стратегическое планирование и постоянное обучение сотрудников.
Если вы заинтересованы в улучшении системы защиты данных вашей компании, я предлагаю воспользоваться нашим опытом и знаниями в этой области. Это эффективные, экономически выгодные и законодательно соответствующие решения, которые помогут вам обеспечить максимальную защиту персональных данных и минимизировать риски связанные с киберугрозами.
Последние новости
Ваше заявка успешно отправлена!
Мы свяжемся с вами в ближайшее время
Чем Вам помочь?
Это не чат-бот! Тут отвечают люди, по этому не всегда мгновенно 😳