Признаться, это удивило даже нас – отъявленных оптимистов и даже больше – соучастников многих подобных положительных дел. Из трех вынесенных решений по новым составам – два предупреждения и один скромный штраф… Например, в одном из дел была доказана утечка 70 000 ни в чем не повинных душ, что подпадает под ч. 13 ст. 13.11 КоАП – штраф до 10 млн рублей. Суд ограничился предупреждением.
А из мини-утечек по ч. 1 компаниям удавалось избежать штрафов в 42% случаев. Ловко!
Итого получается, что во времена арбитражной оттепели success-rate (т. е. утечка без штрафов) составляет 44%, тогда как в судах общей юрисдикции – только 16% (статистика с 2023 г.). Разница – кратная! На картинке – обновленная статистика. Любуемся напоследок…
Да, эти решения вынесены арбитражными судами (АСы). Хоть с января судьба дел по ПД снова оказалась в руках головах мировых судей. Дела, которые АСы успели принять к рассмотрению до января, к счастью, будут рассмотрены ими же. В связи с этим еще некоторое время нас, вероятно, будет радовать их подход.
Но чем дальше, тем интереснее – будут ли у нас поводы восторгаться решениями по утечным делам, когда их начнут выносить мировые судьи? Повлияет ли практика АСов на общую юрисдикцию? Например, решение апелляции по кейсу РЖД.
В постарбитражную эпоху мировыми судьями пока рассмотрено лишь одно дело об утечке. Там компанию сразу же оштрафовали на 150 000 по ч. 1 ст. 13.11 КоАП. Мировой судья решительно отмел возможность заменить штраф на предупреждение, несмотря на наличие статуса СМП, а также совершения правонарушения впервые. Напомним, что для АСов зачастую этого было достаточно, чтобы понять и простить.
Во избежание сомнений мы по-прежнему считаем, что когда компания виновата в утечке – всякие штрафы уместны, а когда не виновата – неуместны никакие, и даже предупреждения. А виновата компания тогда, когда не защищала данные как должно. Должно – это так, как, к примеру, указано в нашем чек-листе. И, конечно же, сам факт утечки вовсе не свидетельствует о вине протекшего оператора.
Поэтому мы (хоть и не МИД РФ) решительно осуждаем дела, когда операторов штрафуют за утечку, допущенную путем фотографирования работником экрана рабочего лэптопа. Конечно, защищаться от таких инсайдерских угроз можно и нужно как с помощью организационных, так и технологических решений. Но с уверенностью такие угрозы исключить невозможно. А раз так, то почему такая утечка = штраф? Почему действует абсолютный стандарт защиты? Еще один риторический вопрос… извините.
Кстати, мы обновили чек-лист мероприятий до и после утечки, в том числе с учетом кейса РЖД. Многие заметили в этом деле аргументацию про комплексность и сложность атаки, а также про действия хакеров из недружественной юрисдикции. Отличные аргументы. Однако напомним, что они работали и раньше, НО при следующей логике:
модель угроз для скомпрометированной системы разработана и предусматривает конкретные векторы атаки хакеров;
все прописанные в модели угроз средства защиты от такой угрозы реализованы, и компания может подтвердить это;
и только при наличии предыдущего будут работать свидетельства того, что недружественная атака выходила за рамки разумных ожиданий.
Без первых двух поинтов сложность атаки – пустой звук. Используйте эту логику, чтобы кейс РЖД стал новой нормальностью, а не однократным феноменом государственной убыточной компании.