Участившиеся инциденты, связанные с компрометацией паролей и других цифровых идентификаторов, актуализируют важный правовой вопрос: насколько эффективно бизнес защищает информацию, составляющую коммерческую тайну, персональные данные и другие критически важные активы?
В условиях цифровизации и растущего числа киберугроз обеспечение информационной безопасности – не просто технологический вызов, но и зона правовой ответственности.
Практика показывает, что компании по-прежнему используют устаревшие подходы к управлению доступом:
- хранение паролей в открытом виде или в незащищенных файлах;
- отсутствие политики их регулярной смены;
- единые учетные данные на несколько систем;
- отсутствие разграничения прав доступа и контроля за действиями сотрудников.
Такие действия могут быть квалифицированы как ненадлежащее исполнение обязанности по защите информации, влекущее как административную, так и потенциально гражданско-правовую ответственность (например, за утечку персональных данных или раскрытие коммерческой тайны).
Так, если слабая защита паролей приводит к утечке персональных данных, это может повлечь административную ответственность по ст. 13.11 КоАП РФ и стать основанием для проверки Роскомнадзора.
В случае компрометации бизнес-секретов, к которым имели доступ неавторизованные лица, компания рискует понести как финансовый, так и репутационный ущерб, а в отдельных случаях – потерять правовую защиту режима коммерческой тайны (если не обеспечены минимальные меры безопасности, предусмотренные ст. 10 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»). Отсутствие регламентов, политики доступа, обучения персонала и контроля может быть расценено как недостаточная организация внутреннего комплаенса. Это, в свою очередь, усиливает позицию пострадавших лиц в спорах, связанных с возмещением ущерба от утечек информации.
С целью минимизации рисков компании представляются необходимыми следующие меры:
- разработка и внедрение внутренних нормативных документов, регламентирующих:
- порядок создания, хранения и смены паролей;
- уровни доступа к различным системам;
- действия при выявлении угроз;
- ответственность пользователей;>
- обучение персонала правилам обращения с конфиденциальной информацией, включая вопросы фишинга, социальной инженерии и работы с корпоративными сервисами;
-
использование решений по управлению цифровыми секретами (password/secrets management platforms), которые:
- обеспечивают шифрование и централизованное хранение информации, относящейся к конфиденциальной;
- поддерживают разграничение доступа по ролям;
- ведут журналирование и аудит всех операций;
- позволяют оперативно отозвать доступ при увольнении сотрудника или компрометации системы;
- наличие плана реагирования на инциденты, связанные с информационной безопасностью, включая юридическую оценку произошедшего, порядок уведомления уполномоченных органов и защиты прав и законных интересов пострадавших сторон.
В данном случае роль корпоративного юриста – не ждать инцидента, а предотвращать его. Современный корпоративный юрист – не просто наблюдатель, а активный участник формирования информационной политики компании, включающей:
- взаимодействие с подразделениями IT и безопасности;
- оценку рисков при выборе подрядчиков и систем хранения данных;
- формирование доказательной базы добросовестного поведения в случае проверок или споров;
- сопровождение юридической стороны реагирования на инциденты (включая уведомления о нарушениях, переговоры с пострадавшими и PR-стратегию).
Таким образом, обеспечение надлежащей защиты цифровых идентификаторов – это не только вопрос эффективной деятельности компании, но и юридической безопасности бизнеса. Пренебрежение этими вопросами может обернуться потерей не только данных, включая конфиденциальные, но и правовой позиции в случае конфликта, проверки или судебного разбирательства. В настоящее время защита цифровых секретов – это защита прав и законных интересов компании в широком смысле слова.
