Суды начинают оценивать реальные меры киберзащиты бизнеса
На протяжении значительного периода в судебной системе России доминировал подход, который можно определить как презумпцию вины в случаях компрометации персональных данных. В ситуациях, когда происходила утечка информации, компании автоматически признавались виновными. Для назначения административного наказания надзорному органу было достаточно лишь констатировать факт нарушения, без углублённого анализа того, какие меры были предприняты для защиты IT-инфраструктуры компании.
Однако теперь судебные органы напоминают о фундаментальных правовых принципах: юридическое лицо может быть признано виновным только тогда, когда у него имелась возможность соблюсти установленные правила, но оно не предприняло всех необходимых шагов для этого (согласно части 2 статьи 2.1 КоАП РФ).
В деле с участием РЖД суд отметил, что выводы Роскомнадзора о полной ответственности компании появились преждевременно. В материалах дела не нашлось подтверждений того, что РЖД игнорировала требования законодательства в сфере защиты персональных данных. Напротив, были представлены свидетельства о том, что утечка произошла вследствие действий неизвестного лица, обладающего специализированными знаниями и использовавшего программное обеспечение для преодоления защитных механизмов серверной инфраструктуры компании.
Эксперты утверждают: универсального средства от мошенничества нет, но есть инструменты, которые снизят риски взлома и защищают конфиденциальные данные. Собрали в Журнале "Финансовый директор" ключевые правила киберзащиты.
Памятки для финансистов по кибербезопасности
Подготовлено экспертами Актион Финансы