Данные защитят капиталом
Можно ли «длинным рублем» остановить утечку личной информации
Минцифры и другие ведомства поддержали введение штрафа с оборота для операторов, теряющих персональные данные (ПД) пользователей. Действующие меры неспособны остановить поток уходящей «налево» личной информации из организаций. Каковы перспективы нового вида наказания и как сделать его эффективным, вместе с участниками рынка выяснял RSpectr.
ЗАЧЕМ ШТРАФОВАТЬ С ОБОРОТА
Предложение об ужесточении санкций за утечку персональных данных прозвучало 17 февраля в Совфеде в ходе круглого стола на тему совершенствования законодательства в сфере оборота ПД. Участник мероприятия, директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович рассказала RSpectr, что такую инициативу высказало Минцифры, а представители Совфеда ее поддержали. При этом эксперт уточнила, что предложение пока «не облечено в форму конкретного законопроекта».
В пресс-службе Минцифры RSpectr подтвердили инициативу, сообщив, что введение оборотных штрафов «будет способствовать снижению количества инцидентов, связанных с утечками ПД».
Минцифры, пресс-служба:
– Важно отметить, что существующие сегодня штрафные санкции не побуждают операторов к безусловному выполнению требований законодательства в области персональных данных.
«Вопрос о повышении ответственности за утечки ПД обсуждается давно и пока бесплодно. Отсутствие серьезного наказания за 15 лет действия закона ничего, кроме удивления, вызывать не может. Ни одного законопроекта, дошедшего до обсуждения в парламенте, мне не известно», – сообщил RSpectr управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.
Он добавил, что
круглый стол в Совете Федерации – самое значимое событие, но пока речь идет только о концепции
Мы видим консенсус, и можно ожидать, что работа над соответствующими нормами выйдет в активную фазу, прогнозирует руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев в разговоре с RSpectr.
А.Орехович соглашается с тем, что оборотные штрафы действительно могут повлиять на снижение числа утечек ПД. Сходная позиция у многих участников рынка. «Вспомним Oriflame, у которой 1,3 млн данных клиентов были выставлены на продажу хакерами. Тогда компания заплатила штраф в 30 тыс. рублей. При таких символических суммах бороться за безопасность личной информации крупным игрокам нет смысла», – рассказывает RSpectr исполнительный директор компании HFLabs (занимается обработкой и структурированием ПД в крупных компаниях) Константин Степанов.
Однако участники круглого стола отметили необходимость учитывать степень вины и влияние человеческого фактора при выявлении нарушений, уточнила А.Орехович.
Александра Орехович, ФРИИ:
– Одно дело, когда утечка явилась следствием ненадлежащего исполнения организацией своих обязанностей по обеспечению сохранности данных. То есть не выполнила необходимых мероприятий технического или административного характера. И совсем другое, когда она произошла из-за неправомерных действий сотрудника, несмотря на все меры, предпринятые компанией.
Ситуация с хранением конфиденциальных сведений в госкомпаниях плачевная. По данным «СёрчИнформ», в 2021 году чаще всего ПД пропадали из государственных учреждений:
- здравоохранения (45%);
- силовых структур (38,5%);
- органов госуправления (23,5%).
Без жесткой ответственности за нарушения проблему не решить, но подход должен быть взвешенный и дифференцированный, считает А.Парфентьев
Константин Степанов, HFLabs:
– Разные данные имеют разную ценность. Если злоумышленникам станет известен адрес человека и суммы на его банковских счетах, это опасно для жизни. А если узнают, что кто-то зарегистрирован на сайте по продаже товаров, это не так критично.
РАЗДЕЛЯЙ И НАКАЗЫВАЙ
Эксперты сходятся во мнении, что оборотные штрафы идеально градируют степень ответственности. При этом важно учитывать ряд факторов при наказании, отмечает М.Емельянников:
- размер утечки (количество пострадавших субъектов);
- состав данных, к которым получен неправомерный доступ (специальные категории, платежная информация, биометрия как минимум);
- потенциальные последствия утраты ПД для субъектов, состав и содержание мер, принятых оператором для защиты от их пропажи.
Эти факторы в большей мере можно учесть в правоприменительной практике при определении размера ответственности. Хотя часть из них, например, количество субъектов и категории данных, могут быть прямо указаны в законе, говорит М.Емельянников.
Директор департамента информационной безопасности Oberon Евгений Суханов считает, что следует учесть в законе фактор инцидента. Оператор должен понести более суровое наказание при утечке, чем при выявлении несоответствия безопасности в ходе штатного аудита регулятора, отметил он в разговоре с RSpectr.
Другой важный момент, который будет влиять на эффективность наказания, – качество доказательной базы
Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян уверен, что наказание в зависимости от размера выручки вызовет сильное сопротивление со стороны операторов, когда их привлекут к ответственности. «Как минимум все решения о вынесении таких штрафов будут до последнего оспариваться в судах. И здесь необходимо серьезно заниматься доказательством факта утечки и ее причины, который включает множество специальных экспертиз», – сообщил он RSpectr.
Ашот Оганесян, DLBI:
– Главная задача здесь – подтверждение источника сведений, на котором базируется достоверность последующего решения, но оно не должно быть слишком дорогим и сложным для заявителя. Пока что стандартная реакция оператора: «Докажите, что информация утекла именно у нас».
Эта позиция практически непробиваема для пострадавших (кроме остатков по банковским счетам), так как требует дорогостоящих и сложных экспертиз, которым обычно активно противодействуют, пояснил А.Оганесян.
Также судьи, которые будут выносить решение, в том числе в апелляционной и кассационной инстанциях, должны обладать специальными знаниями. Пока с этим ситуация еще хуже, чем с самими штрафами, считает глава DLBI.
БИЗНЕС И ГОССТРУКТУРЫ – КТО ОТВЕТИТ?
Естественно, инициатива в первую очередь должна затронуть именно крупнейшие корпорации с госучастием, такие как «Ростелеком», Сбербанк, ВТБ, которые являются крупнейшими операторами ПД, считает М.Емельянников. При этом эксперт признает, что с госструктурами ситуация более сложная – здесь уместней штрафовать должностных лиц, которые отвечают за безопасность личных сведений.
Безусловно, закон должен распространяться в равной степени на государственные и коммерческие организация, потому что с точки зрения субъекта ПД нет разницы, откуда они утекут, сообщил RSpectr руководитель отдела информационной безопасности компании Linxdatacenter Георгий Беляков.
А.Оганесян считает, что было бы странно наказывать от имени государства компании и ведомства, являющиеся его частью.
В отношении госслужащих и сотрудников госкомпаний более эффективной будет личная ответственность, в том числе и финансовая
Однако здесь также необходима проработанная система установления вины конкретных лиц и доказывания их ответственности за утечку данных, уточнил он.
Эксперты по информбезопасности (ИБ) считают, что госкомпаниям необходимо отдать на аутсорсинг профильным фирмам свою ИБ-структуру, либо в центры защиты данных, созданные при поддержке государства, либо полностью государственные.
Алексей Парфентьев, «СёрчИнформ»:
– Проблема госсектора не в отсутствии ИБ-бюджетов или низкой оснащенности защитными инструментами, а в дефиците профильных кадров. Зарплатная политика госучреждения не позволит конкурировать по условиям труда с коммерческим сектором.
ЕВРОПЕЙСКИЙ ПРИМЕР ЗАРАЗИТЕЛЕН
В Евросоюзе уже не первый год применяются денежные наказания в зависимости от размера выручки. Эти санкции предусмотрены «Общим регламентом по защите данных» (GDPR). В ЕС уже четыре года практикуют как штрафы с оборота, так и фиксируемые суммы за утечки. Последние измеряются миллионами евро. Безусловно, такие меры показали результат: европейские компании вынуждены либо лучше охранять данные, либо вовсе не быть оператором ПД, говорит А.Парфентьев.
На нарушителей может быть наложен штраф в размере до 20 млн евро или до 4% от годового оборота за предыдущий финансовый год
Главный достигнутый эффект в ЕС – устрашение и профилактика дальнейших нарушений со стороны компаний, констатирует А.Орехович.
«Помимо штрафов, которые для корпораций могут быть несущественны, еще важен репутационный ущерб. Это значит, что итоги проверок должны широко освещаться для общественности», – пояснил Е.Суханов.
В России оборотные штрафы тоже появились в законодательстве. В частности, они предусмотрены за отказ блокировки запрещенного в РФ контента. Их размер варьируется от 1/20 до 1/5 годового дохода компании, напомнила А.Орехович.
Также в 2021 году в десять раз вырос штраф за разглашение конфиденциальной информации. В рамках защиты прав потребителей запретили собирать избыточные, ненужные для оказания услуги данные. Звонки «службы безопасности банка» официально приравняли к мошенничеству.
В то же время Г.Беляков считает, что пока утечка ПД не будет наносить реальный и существенный репутационный ущерб операторам, никакие штрафы работать не будут.
Изображение: RSpectr, Adobe Stock
ЕЩЕ ПО ТЕМЕ:
Данные легкого поведения
Как изменился нелегальный рынок продажи персональной информации
