Разделы

Безопасность Бизнес Законодательство

Власти собираются ввести в России персональную ответственность за утечку данных

Минцифры предлагает перейти на персональную ответственность за утечки данных. Регулятор доработал законопроект об оборотных штрафах и внес в него материальную ответственность для должностных лиц. Руководителей компаний хотят наказывать за халатность в обращении с внутренней информацией на 200-400 тыс. руб. Представители отрасли, в свою очередь, предлагают направлять деньги пострадавшим от утечки, а не в казну.

Введение персональной ответственности

Минцифры России доработало законопроект об оборотных штрафах и предусмотрело в нем ответственность для должностных лиц компании, допустившей утечку информации. Об этом пишут «Ведомости» со ссылкой на документ, который будут 6 октября 2022 г. рассматривать на совещании Минцифры по вопросам регулирования законодательства в области персональных данных.

В новом варианте документа предусмотрены штрафы не только для организаций, не уследившими за утекшими данными, но и для их руководителей. Так, если в открытом доступе оказалось от 10-100 тыс. строчек, главу компании оштрафуют на 200-400 тыс. руб. Для индивидуальных предпринимателей и юридических лиц штраф за аналогичный инцидент составит 0,02% оборота, но не меньше 1 млн руб.

Сейчас в КоАП прописаны штрафы за утечку данных только для юридических лиц, и они довольно скромные. 60-100 тыс. руб. компания должна уплатить при первой утечке, при повторной – до 500 тыс. руб.

По данным Group-B, общее количество строк всех «летних сливов» составило 304 млн

Что касается более крупных инцидентов – например, если в сети оказалась база данных, содержащая больше 100 тыс. записей, к компании применят жесткие штрафы в размере 1% годовой выручки и до 3%, если она попыталась скрыть проблему от Роскомнадзора.

В обновленной версии документа также указано, что оборотные штрафы применят и в том в случае, утекшие данные (в размере 10-100 тыс. записей) позволяют определить их принадлежность не менее чем 1000 конкретным субъектам. Что касается «сливов» больше 100 тыс. строк, будет проанализировано, затронуты ли напрямую 10 тыс. владельцев персональных данных. Таким образом, жестко карать компании за утечки «бесхозной» информации, которая не может потенциально навредить конкретным людям, регулятор все же не будет.

Брешь в законодательстве

Опрошенные CNews представители рынка соглашаются, что необходимость в ужесточении наказания в области информационной безопасности назрела давно.

Эксперт по информационной безопасности компании Axenix (бывшая Accenture) Евгений Качуров в беседе с CNews заметил, что оборотные и иные штрафы в части утечек персональных данных являются предсказуемым шагом регулятора. По его мнению, изменения законодательства трансформируют подходы компаний в части защиты персональных данных, а значит, изменится и уровень ущерба от киберугроз.

«В западных странах уже давно введены подобные меры в GDPR (General Data Protection Regulation) и оборотный штраф там составляет 4%, – уточнил эксперт. – Однако там может быть наложен крупный штраф не только за утечку персональных данных, но и за иные нарушения»

Качуров вспомнил отчет аналитиков Tessian, в котором сообщается, что с 2020 по 2022 гг. одним из самых крупнейших штрафов (около $877 млн) стал штраф, наложенный на компанию Amazon, предположительно из-за отсутствия согласия пользователей на использование файлов cookie.

Генеральный директор RooX Алексей Хмельницкий добавляет, что персональная ответственность подразумевает, что кибербезопасность перестает быть поддерживающей функцией, а становится «головной болью» топ-менеджера. Оборотные штрафы переводят риски в реальные цифры санкций. «Однако существует опасность, что бизнес будет пытаться переложить их на плечи вендоров ИБ-решений», уверен эксперт.

Ведущий инженер CorpSoft24 Михаил Сергеев в беседе с CNews согласился, что брешь в законодательстве необходимо скорее закрывать, так как сейчас максимальный штраф за утечку составляет 100 тыс. руб., а суды по факту присуждают штрафы в районе 60 тыс. руб.

«Любой компании экономически выгоднее заплатить небольшой штраф, чем держать в штате специалиста по безопасности, который может обходиться бюджету в сумму пяти штрафов в месяц, – объяснил Сергеев. – Поэтому штраф должен быть именно оборотный, чтобы не погубить небольшие организации. И, кстати, есть смысл распределять эти деньги между пострадавшими от утечки, а не направлять их в бюджет».

Руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров отметил, что сейчас действительно рассматривается возможность для граждан получить компенсацию за то, что их данные утекли.

Денис Гузовский, «Росгосстрах»: Массово страховые продукты не будут продаваться онлайн в течение еще трех лет
Бизнес

«Возможно, это будет какой-то госпортал, где можно было бы проверить свои данные на предмет утечки, – отметил эксперт. – Эта информация и станет доказательством для выставления гражданского иска от человека».

Бедеров уточнил, что ситуацию с информационной безопасностью в стране можно изменить лишь с помощью санкций, так как сейчас компаниям выгоднее заплатить штраф, чем тратить 20-30 млн руб. на выстраивание качественной системы информационной безопасности. В то же время у закона есть и слабые места: во-первых, крупные ИТ-компании могут начать отдавать обработку ПД небольшим структурам, которые с ними не аффилированы, чтобы в случае чего платить незначительные оборотные штрафы. Во-вторых, по словам эксперта, компании могут начать скрывать утечки, заявляя, что не заметили их. В-третьих, охотнее платить злоумышленникам, которые шантажируют «сливом», потому что это будет выгоднее во всех отношениях.

Заместитель директора департамента консалтинга Группы Innostage Данияр Исхаков заметил, что если штрафы все же определят в абсолютных цифрах, всегда найдутся компании и руководители, для которых они будут не только приемлемы, но и существенно ниже затрат на обеспечение защиты персональных данных. Именно поэтому в России остается большой процент компаний не выполнивших мероприятия по защите персональных данных в полном объеме, уверен эксперт.

«Изначальный подход по оборотным штрафам как раз и заключался в том, чтобы любая компания от небольших ИП до крупнейших холдингов были одинаково замотивированы заниматься вопросами обеспечения защиты персональных данных», - резюмировал Исхаков.

История законопроекта

Напомним, в мае 2022 г. стало известно, что В России могут в миллионы раз увеличиться штрафы за утечку персональных данных, допущенных их операторами. Речь шла об 1% годового дохода компании. Минцифры планировало подготовить поправки к КоАП и направить их в Госдуму до конца 2022 г.

Ефим Климов, «Эттон»: Как мы получили грант на разработку MES-системы
Поддержка ИТ-отрасли

В июле 2022 г. регулятор пошел на смягчение. Это случилось после того, как представители «Ростелекома», МТС, «Вымпелкома», VK, «Яндекса», «Авито» и Ozon выступили против введения неподъемных штрафов в условиях нестабильной экономической ситуации. В итоге Минцифры сообщило, что в законопроекте определят, что именно будет является объектом утечки персональных данных и как будет устанавливаться вина конкретной компании (так как злоумышленники часто выкладывают в сети компиляцию из разных баз, выдавая их за утекшие данные из конкретной компании).

В документе регулятор планировал учесть смягчающие и отягчающие обстоятельства (сокрытие факта утечки, попытки защитить информацию и т.д). Анонсировалась и процедура добровольной аккредитации компаний по критериям информационной безопасности – она может послужить подтверждением того, что организация пыталась защитить информацию. Появятся ли все эти пункты в обновленном законопроекте, пока неизвестно.

Самые громкие утечки 2022 года

Напомним, 2022 г. был отмечен огромным количеством утечек персональных данных из российских компаний. Так, в начале марта 2022 г. «Яндекс.еда» сообщила об утечке номеров телефонов 58 тыс. клиентов, Роскомнадзор затем наказал компанию на 60 тыс. рублей. В мае 2022 г.в сети оказались сведения о 30 млн клиентах сети лабораторий «Гемотест». Сразу после этого Delivery Club заявила, что в открытый доступ попала база данных сотрудников из 350 млн строк.

Весной 2022 г. в свободном доступе также оказались данные сервисов СДЭК (два файла по 466 и 822 млн строк). В июне 2022 г. бывший сотрудник «Ростелекома» слил в сеть персональные данные ста тысяч коллег. А в августе 2022 г. знаменитый взломщик выложил данные 7,5 миллионов клиентов Tele2.

Всего же Group-IB зафиксировала летом 2022 г. двукратный рост количества выложенных в открытый доступ баз данных российских компаний по сравнению с весной 2022 г. За три летних месяца в сеть попало 140 баз, при чем антирекорд был поставлен в августе — 100 утечек. Общее количество строк всех «летних сливов» составило 304 млн.

Анжела Патракова