Срок или штраф: власти хотят ввести уголовное наказание за утечки данных
В России хотят ужесточить наказание за утечки данных и даже ввести уголовную ответственность. В Госдуму внесли законопроект, из-за которого под угрозой могут оказаться даже сотрудники IT-компаний, отвечающие за информационную безопасность. Крупный бизнес уже раскритиковал документ. Что по этому поводу думает малый и средний бизнес — спросили у участников рынка.
В декабре 2023 года в Госдуму внесли законопроект об ужесточении наказания за утечки данных. Поправки предполагают штрафы, в том числе для юрлиц и индивидуальных предпринимателей, которые будут приравнены к компаниям.
В отдельных случаях штрафы могут достигать нескольких сотен миллионов рублей. Например, за повторное нарушение при любом объеме дискредитированной информации (от тысячи субъектов) штраф составит от 0,1% до 3% выручки, но не менее 15 млн и не более 500 млн рублей.
Кроме того, может быть введена уголовная ответственность. Согласно документу, тем, кто попытается передать персональные данные пользователей за границу, грозит до восьми лет тюрьмы со штрафом до двух млн рублей.
С критикой законопроекта выступила Ассоциация больших данных (АБД), в которую входят «Яндекс», VK, «Сбер», «Тинькофф», «Мегафон» и другие IT-компании. В частности, бизнес просит переформулировать текст поправок, чтобы сделать их более прозрачными. Например, ответственность, по мнению представителей бизнеса, должны нести сами взломщики и те, кто продает базы украденных данных.
Также ассоциация предлагает ввести наказание за «заведомо незаконные сбор, хранение и использование персональных данных» и освободить от ответственности сотрудников подразделений информационной безопасности, которые изучают утечки или сайты, на которых они размещены.
Можно ли победить утечки?
Опрошенные «Компанией» участники рынка считают, что сама по себе идея введения наказания за утечку персональных данных верная, но, как это часто бывает, из-за размытых формулировок нормы закона могут быть использованы против лиц, которые не являются первоначальной целью этих мер, считает директор по ИБ в ИТ-компании Proscom Андрей Слободчиков.
Ярким тому примером он называет статью 274.1 УК РФ, которая предусматривает уголовное наказание за незаконное воздействие на критическую информационную инфраструктуру РФ. За ее нарушение грозит срок от двух лет и выше. Главная цель статьи — предусмотреть ответственность за нанесение ущерба, включая сбои в работе, объектам критической информационной инфраструктуры. Но на практике эту статью стали применять к работникам операторов связи, которые передавали третьим лицам информацию о пользователях, а также к медицинским сотрудникам, которые подделывали результаты вакцинирования. Эти действия, безусловно, незаконные, но вред КИИ, скорее, не несут, говорит Слободчиков.
Чаще всего причиной утечек становится человеческий фактор. Как бы компании ни защищали данные пользователей, все равно найдется сотрудник, который «вынесет сервер из серверной», считает исполнительный директор IT-компании HFLabs Константин Степанов.
«С одной стороны, ничто так не стимулирует заниматься проблемой, как нависающая угроза получить по голове. С другой стороны, эта же угроза вызывает тягу срочно все запретить и зарегулировать. В итоге это приведет к тому, что разработка всего, что так или иначе связано с клиентскими данными, станет дороже. А у нас при этом десятилетие технологий, и мы хотим делать прорывы в области ИИ. А где взять для него данные, если все нельзя?» — добавляет Степанов.
Поэтому на проблему утечек нужно смотреть более широко и использовать не только запреты, но и другие меры профилактики, говорит собеседник. В частности, бизнесу не стоит лишний раз собирать персональные данные, если и без них можно обойтись. К тому же компаниям необходимо применять решения для обезличивания информации, а регуляторам стоит разрешить бизнесу обмениваться данными клиентов, считает Степанов.
«Это можно делать в безопасной среде. Так бизнес сможет узнать больше о своих клиентах, но при этом их персональные данные не будут раскрыты», — добавляет он.
Слободчиков напоминает, что в странах ЕС бизнес мотивируют уделять больше внимания защите данных при помощи штрафов, и этого оказалась достаточно. «Прежде чем приступать к введению уголовной ответственности, хотелось бы дождаться формирования практики применения штрафных санкций и реакции бизнеса на требования по защите от утечек», — добавляет он.
Новый законопроект стал ответной реакцией на участившиеся в России случаи утечек. По подсчетам Роскомнадзора, их число в 2023-м увеличилось до 168 по сравнению со 140 годом ранее. Принятие поправок может изменить ситуацию и заставить участников рынка относиться к персональным данным более ответственно, но в то же время это повлечет рост затрат на инструменты защиты.
Также это может привести к тому, что компании просто начнут чаще скрывать факты утечек и чаще платить выкупы хакерам, отмечает Александр Зубриков, генеральный директор ITGLOBAL.COM Security. «Мы давно предлагаем доработать законопроект и внести понижающий коэффициент или отмену штрафа, если компания сможет доказать, что сделала все возможное, чтобы предотвратить утечку, а также вовремя среагировала на инцидент», — говорит он.
В качестве альтернативной меры борьбы с утечками Зубриков предлагает больше сконцентрироваться на профилактике. Например, ввести дополнительные проверки компаний и сократить временные промежутки между оценками эффективности защиты информации. Государство и сами фирмы должны проводить больше работ по повышению ИБ-грамотности и пропаганде безопасности в Сети, считает собеседник.