Не обновил Битрикс - утекли ПД!
МАРИЯ ВЕРХОВСКАЯ
Как предотвратить утечку персональных данных? Одна из наиболее распространенных рекомендаций - использовать лицензионное программное обеспечение, а также регулярно его обновлять.
Действительно ли своевременное обновление ПО может повлиять на сохранность ПД?
Как показывает практика, связь между отсутствием обновления и утечками возможна.
Рассмотрим на примере кейса⬇️
Фабула: сайт районной администрации взломали в результате заражения вредоносными программами. Злоумышленники получили доступ к разделу "Обращения граждан", заполучили ПД 481 граждан (ФИО, адрес, номер телефона, эл. почта).
Администрация направила в Роскомнадзор уведомление об утечке. Пояснила, что инцидент произошел из-за наличия уязвимости программного обеспечения "Битрикс" устаревшей версии. Программное обеспечение не обновлялось с декабря 2018 года из-за отсутствия лицензии на активацию техподдержки и обновления. Инцидент состоял во взломе и заражении сайте и порче главной страницы. Через время администрация сообщила, что инцидент состоял из заражения и порчи главной страницы интернет-сайта с использованием уязвимостей необновленного ПО, при этом факт утечки ПД не подтвердился.
Мировым судьей в действиях администрации было усмотрено нарушение ч .1 ст. 13.11 КоАП РФ, штраф - 60 000 руб.
Однако апелляция с решением не согласилась, отменила его, производство по делу прекратила, посчитав, что вина администрации не доказана.
По мнению апелляции, Роскомнадзором не представлены доказательства взаимосвязи между заражением и порчи главной страницы сайта и неправомерным доступом третьих лиц к ПД граждан, содержащимся в разделе "Обращения граждан".
Кассация поддержала вывод апелляции, однако указала, что существенных нарушений для пересмотра не усматривается, более того, истек срок давности привлечения к административной ответственности.
Постановление Третьего кассационного суда общей юрисдикции от 26.11.2024 № 16-5090/2024
Автор: Мария Верховская.
Действительно ли своевременное обновление ПО может повлиять на сохранность ПД?
Как показывает практика, связь между отсутствием обновления и утечками возможна.
Рассмотрим на примере кейса⬇️
Фабула: сайт районной администрации взломали в результате заражения вредоносными программами. Злоумышленники получили доступ к разделу "Обращения граждан", заполучили ПД 481 граждан (ФИО, адрес, номер телефона, эл. почта).
Администрация направила в Роскомнадзор уведомление об утечке. Пояснила, что инцидент произошел из-за наличия уязвимости программного обеспечения "Битрикс" устаревшей версии. Программное обеспечение не обновлялось с декабря 2018 года из-за отсутствия лицензии на активацию техподдержки и обновления. Инцидент состоял во взломе и заражении сайте и порче главной страницы. Через время администрация сообщила, что инцидент состоял из заражения и порчи главной страницы интернет-сайта с использованием уязвимостей необновленного ПО, при этом факт утечки ПД не подтвердился.
Мировым судьей в действиях администрации было усмотрено нарушение ч .1 ст. 13.11 КоАП РФ, штраф - 60 000 руб.
Однако апелляция с решением не согласилась, отменила его, производство по делу прекратила, посчитав, что вина администрации не доказана.
По мнению апелляции, Роскомнадзором не представлены доказательства взаимосвязи между заражением и порчи главной страницы сайта и неправомерным доступом третьих лиц к ПД граждан, содержащимся в разделе "Обращения граждан".
Кассация поддержала вывод апелляции, однако указала, что существенных нарушений для пересмотра не усматривается, более того, истек срок давности привлечения к административной ответственности.
Постановление Третьего кассационного суда общей юрисдикции от 26.11.2024 № 16-5090/2024
Автор: Мария Верховская.
