СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
06.08.2025
#Dev#ИБ

Эксперт Игорь Баранов: пренебрежение защитой паролей может привести к утечке персональных данных и потере коммерческой тайны

Эксперт Игорь Баранов: пренебрежение защитой паролей может привести к утечке персональных данных и потере коммерческой тайны

Изображение: recraft

Игорь Баранов, адвокат Адвокатской палаты города Москвы, прокомментировал для CISOCLUB участившиеся инциденты с компрометацией цифровых идентификаторов. По его словам, обеспечение информационной безопасности сегодня — это не только технический, но и правовой вопрос.

«Участившиеся инциденты, связанные с компрометацией паролей и других цифровых идентификаторов, поднимают важный правовой вопрос: насколько эффективно бизнес защищает информацию, составляющую коммерческую тайну, персональные данные и другие критически важные активы? В условиях цифровизации и растущего числа киберугроз обеспечение информационной безопасности — не просто технологический вызов, но и зона правовой ответственности», — отметил он.

Баранов обратил внимание на повышенные требования к контролю доступа и привёл примеры типичных нарушений, с которыми сталкиваются юристы на практике:

  • хранение паролей в открытом виде или в незащищённых файлах;
  • отсутствие политики их регулярной смены;
  • единые учётные данные на несколько систем;
  • отсутствие разграничения прав доступа и контроля за действиями сотрудников.

Такие действия могут быть квалифицированы как ненадлежащее исполнение обязанности по защите информации, влекущее как административную, так и потенциально гражданско-правовую ответственность (например, за утечку персональных данных или раскрытие коммерческой тайны).

Риски правового характера:

1. Нарушение законодательства о персональных данных. Если слабая защита паролей приводит к утечке персональных данных, это может повлечь ответственность по ст. 13.11 КоАП РФ и стать основанием для проверки Роскомнадзора.

2. Ущерб от утраты коммерческой тайны. В случае компрометации бизнес-секретов, к которым имели доступ неавторизованные лица, компания рискует понести как финансовый, так и репутационный ущерб — а в отдельных случаях и потерять правовую защиту режима коммерческой тайны (если не обеспечены минимальные меры безопасности, предусмотренные ст. 10 ФЗ «О коммерческой тайне»).

3. Ответственность за действия сотрудников. Отсутствие регламентов, политики доступа, обучения персонала и контроля может быть расценено как недостаточная организация внутреннего комплаенса. Это, в свою очередь, усиливает позицию пострадавших лиц в спорах, связанных с возмещением ущерба от утечек.

Что необходимо сделать с юридической точки зрения?

Для минимизации рисков юридически грамотная компания должна:

1. Разработать и внедрить внутренние нормативные документы, регламентирующие:

  • порядок создания, хранения и смены паролей;
  • уровни доступа к различным системам;
  • действия при выявлении угроз;
  • ответственность пользователей.

2. Обучать персонал правилам обращения с конфиденциальной информацией, включая вопросы фишинга, социальной инженерии и работы с корпоративными сервисами.

3. Использовать решения по управлению цифровыми секретами (password/secrets management platforms), которые:

  • обеспечивают шифрование и централизованное хранение;
  • поддерживают разграничение доступа по ролям;
  • ведут журналирование и аудит всех операций;
  • позволяют оперативно отозвать доступ при увольнении сотрудника или компрометации системы.

4. Иметь план реагирования на инциденты ИБ, включая юридическую оценку произошедшего, порядок уведомления уполномоченных органов и защиты интересов пострадавших сторон.

В данном случае роль юриста- не ждать инцидента, а предотвращать его.

Современный корпоративный юрист — не просто наблюдатель, а активный участник формирования информационной политики компании, что включает в себя:

  • взаимодействие с ИТ и безопасностью;
  • оценку рисков при выборе подрядчиков и систем хранения данных;
  • формирование доказательной базы добросовестного поведения в случае проверок или споров;
  • сопровождение юридической стороны реагирования на инциденты (включая уведомления о нарушениях, переговоры с пострадавшими и PR-стратегию).

Как вывод модно отметить, что обеспечение надлежащей защиты цифровых идентификаторов — это не только вопрос эффективности, но и юридической безопасности бизнеса. Пренебрежение этими вопросами может обернуться не только потерей данных, но и потерей правовой позиции в случае конфликта, проверки или судебного разбирательства.

В настоящее время защита цифровых секретов — это защита интересов компании в самом широком смысле слова.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: