Защита данных на первом месте: как суд оштрафовал «Гемотест» за утечку 300 ГБ данных клиентов

Дата: 14.12.2023

Комментариев: 0

Недавно произошедший инцидент с утечкой персональных данных (а скорее всего не только персональные, а ещё и медицинские данные) в “Гемотесте”, одной из крупнейших медицинских лабораторий России, стал громким и поучительным примером проблем в сфере защиты персональных данных и в целом как лакмусовая бумажка выявила тотальные проблемы в ИТ сфере России. События разворачивались как сценарий кибертриллера в итоге которой “хакерская атака” (мой мнение что там был не хакер, а просто студент которому нечего было делать) привела к краже 300 ГБ данных, затрагивающих личную информацию миллионов клиентов. Этот прецедент не только высветил уязвимости в системах информационной безопасности, но и стал поводом для серьёзного правового разбирательства, завершившегося штрафованием “Гемотеста” на 60 тыс. рублей. Такой мизерный штраф просто курам на смех. Так же как и 250 рублей за превышение скорости на 40 км/ч (оплата скоростного проезда).

Этот случай явно демонстрирует, что на сегодняшний день вопросы защиты персональных данных выходят на первый план, а государство начинает более строго требовать соблюдения законодательных норм. В частности, Федеральный закон № 152-ФЗ, регулирующий хранение и обработку персональных данных, становится не просто формальным документом, но и инструментом для обеспечения безопасности граждан в цифровой сфере. Усиление государственного контроля в этой области не только повышает ответственность компаний за надежную защиту собранных данных, но и подчеркивает необходимость внедрения современных и эффективных технологий защиты.

История утечки данных в “Гемотесте”

Инцидент с “Гемотестом” привлек внимание не только своим масштабом, но и обстоятельств. Утечка данных составила поразительные 300 ГБ, затронув личную информацию миллионов клиентов: более 30 млн строк с персональными данными и 554 млн строк заказов с данными: ФИО, даты рождений, домашние адреса, номера телефонов, электронные почты, данные паспортов и состав заказов.

Кстати, в своем Telegram-канале я делюсь IT-советами для руководителей бизнеса, которые помогают узнать, где теряются деньги и как проверить системных администраторов.

“Гемотест” быстро начал внутреннее расследование, чтобы выяснить, как именно была осуществлена атака, и установить объем утекших данных. Компания также заявила о собственной оценке масштаба утечки, утверждая, что она была меньше, чем изначально сообщалось. Это подчеркивает, что “Гемотест” серьезно относится к инциденту и стремится минимизировать его последствия.

Правовые последствия для “Гемотеста”

Случай с “Гемотестом” перерос в серьезное правовое дело, итогом которого стало применение административных мер. Мировой суд Москвы вынес решение оштрафовать компанию на 60 тысяч рублей. Штраф был наложен в соответствии с частью 1 статьи 13.11 Кодекса об административных правонарушениях Российской Федерации (КоАП РФ), регулирующей нарушения в области обработки персональных данных. Суд пришел к выводу, что “Гемотест” не обеспечил адекватную защиту информации клиентов, что и привело к ее утечке. А по моему мнение вообще никто и не пытался ничего делать для защиты. Просто делали так, чтобы было комфортно работать не заботясь о защите данных вообще. Руководитель ИТ отдела не придерживался никаких инструкций правил (моё мнение) и наплевательски в целом относился к своим обязанностям ибо главная цель любого сотрудника в штате, это делать минимум работы, только с целью “Отчитаться перед начальсвом” (я называю это “очковтирательство”, в наше время звучит неоднозначно, но эта неоднозначность как то очень кстати подходит в данном случае).

Кроме того, суд приговорил самого хакера к 1,5 годам ограничения свободы за кражу данных клиентов «Гемотеста». Он взломал систему через удалённый сайт корпоративного телевидения. Но кто дал доступ к нему, непонятно до сих пор. При этом как я предполагаю, была обычная халатность именно ИТ отдела, а то и преднамеренный слив информации обиженным уволившимся сотрудником или даже работающим на тот момент. Да и в целом, там факт, что это стало технически возможно, говорит о том, что ИТ инфраструктуры была построена из ряда вон плохо и тут первое лицо кто должен отвечать, это именно ИТ директор (а не горе-хакер). А руководитель компании (генеральный директор по уставу) должен отвечать уже за то, что таким образом нанял сотрудников в компанию и так поставил задачи ИТ отделу.

Это решение имеет важное значение, подчеркивая серьезность нарушений в сфере защиты персональных данных. Федеральный закон № 152-ФЗ, известный как закон о персональных данных, предъявляет строгие требования к обработке, хранению и защите такой информации. В случае несоблюдения этих норм, компании могут столкнуться с административной ответственностью, что включает в себя значительные штрафы.

Ключевые положения ФЗ-152 включают:

• Согласие на обработку данных: Закон требует получения согласия субъектов данных на их обработку, за исключением случаев, предусмотренных законодательством.

• Обязанность по защите данных: Организации обязаны принимать все необходимые меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования или распространения.

• Уведомление Роскомнадзора: Организации должны уведомить Роскомнадзор о своей деятельности по обработке персональных данных.

• Ответственность за нарушения: За нарушение требований закона предусмотрены административные и уголовные наказания.

Как мой опыт и наработки помогают предложить эффективное и экономичное решение:

• Понимание уникальных потребностей каждого клиента: подход заключается в тщательном анализе специфики деятельности клиента для разработки индивидуальных решений.

• Интеграция передовых технологий: используем последние достижения в области защиты данных, включая искусственный интеллект и машинное обучение для обеспечения более эффективной защиты.

• Оптимизация затрат: мой подход направлен на предложение решений, которые не только эффективны, но и экономически выгодны, помогая клиентам снизить общие затраты на ИТ-безопасность в частности и на ИТ в целом.

• Обучение и поддержка клиентов: предлагаю комплексные программы обучения и поддержки для обеспечения того, чтобы наши клиенты были полностью информированы о лучших практиках в области защиты данных.

С учетом текущих трендов и законодательных требований, наша компания стремится предложить решения, которые обеспечивают не только высокий уровень защиты данных, но и соответствуют экономическим и операционным потребностям клиентов.

Пример “Гемотеста” и последующие правовые разбирательства ясно демонстрируют важность строгого соблюдения законодательства о персональных данных. В условиях постоянно развивающегося цифрового мира и увеличивающихся угроз кибербезопасности, защита данных становится не только юридической обязанностью, но и критическим фактором для поддержания доверия клиентов и репутации компании.

Я призываю всех читателей, занимающихся вопросами информационной безопасности и защиты данных, серьёзно отнестись к текущим трендам и законодательным изменениям. Подход к защите персональных данных должен быть комплексным, сочетая в себе передовые технологии, стратегическое планирование и постоянное обучение сотрудников.

Если вы заинтересованы в улучшении системы защиты данных вашей компании, я предлагаю воспользоваться нашим опытом и знаниями в этой области. Это эффективные, экономически выгодные и законодательно соответствующие решения, которые помогут вам обеспечить максимальную защиту персональных данных и минимизировать риски связанные с киберугрозами.