11 Июля 2022 13:33 11 Июл 2022 13:33 |

Поделиться

Минцифры планирует снизить гигантские штрафы за утечку ПД

Курс на смягчение

Минцифры провело совещание, на котором разрабатывались поправки к Кодексу об административных правонарушениях, устанавливающих размеры штрафов за утечку персональных данных. В обсуждении законопроекта участвовали представители «Ростелекома», МТС, «Вымпелкома», VK, «Яндекса», «Авито» и Ozon, пишет «Коммерсант» со ссылкой на свои источники.

Речь идет о штрафах за утечку персональных данных в зависимости от оборота организации, в которой она произошла. В мае 2022 г. Минцифры согласовало законопроект, по которому компания должна уплатить 1% годовой выручки, если личная информация ее сотрудников или клиентов угодила в сеть. До 3% штраф мог дойти, если организация скрыла инцидент и не сообщила о нем Роскомнадзору в течение суток. Также организации должны были за три дня провести корпоративное расследование и отчитаться контрольному органу о проверке. В Госдуму законопроект внести не успели — авторы оставили себе на раздумья не менее шести месяцев до конца 2022 г.

Источники издания сообщают, что регулятор предварительно пошел на уступки и разрешил не вводить штрафы после первого инцидента с утечкой данных. Сумма штрафов же может стать ниже 1% от оборота, однако решение еще не окончательное. За игру в прятки с Роскомнадзором наказывать тоже будут не так серьезно — над пакетом поправок сейчас работают представители бизнеса под руководством VK и «Ростелекома».

Чего хочет бизнес

Известно, что российские компании настаивают на трехступенчатой системе санкций за утечки ПД.

«Если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение, — сообщил собеседник «Коммерсанта». — В случае повторной компрометации — заплатить крупный штраф. Если же компания допустила утечку в третий раз — получить оборотный штраф».

Еще один из участников совещания заметил, что, учитывая не слишком благоприятную экономическую обстановку, перегибать с оборотными штрафами было бы неправильно. На смягчение законопроекта должны повлиять такие негативные факторы, как растущая инфляция, снижение доходов населения, нарушение цепочек поставок.

В то же время представители отрасли уверены, что наказание за утечку личной информации должно быть гибким. К примеру, штрафовать нужно не по факту инцидента, а за отсутствие мер профилактики. Такого мнения придерживается президент Ассоциации больших данных Анна Серебряникова, пишет «Коммерсант». Также она полагает, что сумма штрафа должна коррелировать с масштабом инцидента и ущерба, который злоумышленники причинили компании, ее сотрудникам и клиентам.

Преподаватель Moscow Digital School Олег Блинов полагает, что внедрение оборотных штрафов будет стимулировать компании больше тратиться на защиту информации и тем самым предотвращать новые утечки.

Минимальные штрафы работать не будут

Руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров объяснил CNews, что сейчас и так фактически объявлен мораторий на привлечение компаний к ответственности за утечки ПД — из-за спецоперации России на Украине и связанным с ней ростом хакерских атак на отечественные компании. Однако мораторий касается лишь тех случаев, когда нет значительного финансового ущерба или утечек гостайны.

«Но мы понимаем, что СВО продолжается, а с ней и хакерские атаки, возможно, их будет даже больше, — предупредил эксперт. — Курс Минцифры на смягчение наказание продиктован необходимостью защиты своих близких ИТ-компаний, из которых чаще утекают данные. Впрочем, прогрессивную шкалу штрафа, которую предлагали ранее, легко можно было обойти. Мы предполагали, что компании не будут заявлять об утечках, а начнут рассчитываться со взломщиками своими средствами — это было бы дешевле, чем платить штраф государству. Или же крупный бизнес мог заводить отдельные компании для обработки ПД с небольшим оборотом, чтобы те в случае чего платили штрафы».

Руководитель департамента информационной безопасности компании «Сиссофт» Дмитрий Ковалев заметил, что утечек намного больше, чем сообщают в СМИ — в поле внимания медиа попадают лишь крупные и «знаковые» организации. По его мнению, заставить российские компании более внимательно следить за данными пользователями можно только через материальные наказания, однако практика показывает, что минимальные штрафы — совершенно нерабочая стратегия. Большие штрафы, уверен эксперт, работают лучше, однако они могут стимулировать злоумышленников, которые будут еще активнее искать уязвимости, взламывать инфраструктуру, и вымогать у компаний деньги.

«Если цель не собрать штрафы, а предотвратить инциденты, само наказание должно быть не за факт утечки, а за отсутствие действий по ее профилактике и предотвращения, — высказал уверенность эксперт. — Стратегия введения "одного бесплатного нарушения", которая, по слухам, сейчас обсуждается, тоже не кажется хорошим способом решить задачу. Чтобы система работала эффективно, первый инцидент не может быть бесплатным, он должен повлечь за собой значимые последствия для компании и стимулировать усиление ИБ, но при этом штраф должен быть подъемным».

Андрей Тимошенко, руководитель ИБ-практики «Акстим» (бывшее Accenture) также уверен, что лишь финансовые меры могут поправить ситуацию с массовыми утечками — а еще персональная ответственность руководителей, отвечающих за это в организации.

«Можно обсуждать размеры этих штрафов, но не то, после какой по счету утечки их назначать — при этом сами штрафы должны быть серьезными, ощутимыми», — отметил Тимошенко.

Коммерческий директор компании «Аванпост» Александр Санин заметил, что с точки зрения развития отрасли, правительственная инициатива о внедрении оборотных штрафов вполне разумна, однако в сложившихся бизнес-реалиях скорее, пагубно скажется на российских компаниях.

«По данным "Лаборатории Касперского", за первые пять месяцев 2022 г. число кибератак только на госорганы увеличилось почти в 10 раз, — напомнил эксперт. — В целом в России количество атак увеличилось на 38% в сравнении с аналогичным периодом в 2021 г. Крупные компании с развитыми внутренними службами информационной безопасности способны отражать растущее количество атак и выполнять требования правительства. Небольшие же компании — вряд ли — из-за недостаточной экспертизы и отсутствия бюджета».

Как штрафуют сейчас

Согласно ст. 13.11 КоАП, сейчас первая утечка персональных данных обойдется компании в сумму от 60 тыс. руб. до 100 тыс. руб. За вторую и последующие утечки — 500 тыс. руб. Эксперты называли такой подход излишне мягким, отмечая, что он не мотивирует компании тратиться на усиление защиты своих ресурсов.

В феврале 2022 г. Минцифры озадачилось вопросом введения крупных оборотных штрафов, а в апреле 2022 г. глава министерства Максут Шадаев заявил, что регулятор совместно с Роскомнадзором выступят с законодательной инициативой об ужесточении наказания.

О необходимости строгих мер в России заговорили на фоне скандальных утечек информации. Так, 1 марта 2022 г. «Яндекс.еда» сообщила об утечке номеров телефонов 58 тыс. клиентов и данных об их заказах — виноватым оказался один из сотрудников. В сети оказались даже персональные данные сотрудников спецслужб, которые заказывали доставку на Лубянку. Уже 33 клиента сервиса обратились с заявлением в Замоскворецкий районный суд с требованием присудить компенсацию в 100 тыс. руб. всем пострадавшим. Роскомнадзор же оштрафовал компанию на 60 тыс. рублей.

В начале мая 2022 г. в сеть выложили информацию о 30 млн клиентов сети лабораторий «Гемотест». 20 мая Delivery Club заявила, что в открытый доступ попала база данных сотрудников из 350 млн строк. С мая по июнь 2022 г. специалисты Group-IB зафиксировали рекордное количество баз данных российских компаний в даркнете — 50. Общее количество строк наиболее крупных утечек за этот период составило 616,6 млн строк.

В июне 2022 г. экс-сотрудник «Ростелекома» слил в сеть персональные данные ста тысяч коллег.

Анжела Патракова

Поделиться

Подписаться на новости Короткая ссылка