Регулирование / Статьи
информбезопасность персональные данные
25.2.2022

Данные защитят капиталом

Можно ли «длинным рублем» остановить утечку личной информации

Минцифры и другие ведомства поддержали введение штрафа с оборота для операторов, теряющих персональные данные (ПД) пользователей. Действующие меры неспособны остановить поток уходящей «налево» личной информации из организаций. Каковы перспективы нового вида наказания и как сделать его эффективным, вместе с участниками рынка выяснял RSpectr.


ЗАЧЕМ ШТРАФОВАТЬ С ОБОРОТА

Предложение об ужесточении санкций за утечку персональных данных прозвучало 17 февраля в Совфеде в ходе круглого стола на тему совершенствования законодательства в сфере оборота ПД. Участник мероприятия, директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович рассказала RSpectr, что такую инициативу высказало Минцифры, а представители Совфеда ее поддержали. При этом эксперт уточнила, что предложение пока «не облечено в форму конкретного законопроекта».

В пресс-службе Минцифры RSpectr подтвердили инициативу, сообщив, что введение оборотных штрафов «будет способствовать снижению количества инцидентов, связанных с утечками ПД».

Минцифры, пресс-служба:

– Важно отметить, что существующие сегодня штрафные санкции не побуждают операторов к безусловному выполнению требований законодательства в области персональных данных.

«Вопрос о повышении ответственности за утечки ПД обсуждается давно и пока бесплодно. Отсутствие серьезного наказания за 15 лет действия закона ничего, кроме удивления, вызывать не может. Ни одного законопроекта, дошедшего до обсуждения в парламенте, мне не известно», – сообщил RSpectr управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.

Он добавил, что

круглый стол в Совете Федерации – самое значимое событие, но пока речь идет только о концепции

Мы видим консенсус, и можно ожидать, что работа над соответствующими нормами выйдет в активную фазу, прогнозирует руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев в разговоре с RSpectr.

А.Орехович соглашается с тем, что оборотные штрафы действительно могут повлиять на снижение числа утечек ПД. Сходная позиция у многих участников рынка. «Вспомним Oriflame, у которой 1,3 млн данных клиентов были выставлены на продажу хакерами. Тогда компания заплатила штраф в 30 тыс. рублей. При таких символических суммах бороться за безопасность личной информации крупным игрокам нет смысла», – рассказывает RSpectr исполнительный директор компании HFLabs (занимается обработкой и структурированием ПД в крупных компаниях) Константин Степанов.

Однако участники круглого стола отметили необходимость учитывать степень вины и влияние человеческого фактора при выявлении нарушений, уточнила А.Орехович.

Александра Орехович, ФРИИ:

– Одно дело, когда утечка явилась следствием ненадлежащего исполнения организацией своих обязанностей по обеспечению сохранности данных. То есть не выполнила необходимых мероприятий технического или административного характера. И совсем другое, когда она произошла из-за неправомерных действий сотрудника, несмотря на все меры, предпринятые компанией.

Ситуация с хранением конфиденциальных сведений в госкомпаниях плачевная. По данным «СёрчИнформ», в 2021 году чаще всего ПД пропадали из государственных учреждений:

  • здравоохранения (45%);
  • силовых структур (38,5%);
  • органов госуправления (23,5%).

Без жесткой ответственности за нарушения проблему не решить, но подход должен быть взвешенный и дифференцированный, считает А.Парфентьев

Константин Степанов, HFLabs:

– Разные данные имеют разную ценность. Если злоумышленникам станет известен адрес человека и суммы на его банковских счетах, это опасно для жизни. А если узнают, что кто-то зарегистрирован на сайте по продаже товаров, это не так критично.


РАЗДЕЛЯЙ И НАКАЗЫВАЙ

Эксперты сходятся во мнении, что оборотные штрафы идеально градируют степень ответственности. При этом важно учитывать ряд факторов при наказании, отмечает М.Емельянников:

  • размер утечки (количество пострадавших субъектов);
  • состав данных, к которым получен неправомерный доступ (специальные категории, платежная информация, биометрия как минимум);
  • потенциальные последствия утраты ПД для субъектов, состав и содержание мер, принятых оператором для защиты от их пропажи.

Эти факторы в большей мере можно учесть в правоприменительной практике при определении размера ответственности. Хотя часть из них, например, количество субъектов и категории данных, могут быть прямо указаны в законе, говорит М.Емельянников.

Директор департамента информационной безопасности Oberon Евгений Суханов считает, что следует учесть в законе фактор инцидента. Оператор должен понести более суровое наказание при утечке, чем при выявлении несоответствия безопасности в ходе штатного аудита регулятора, отметил он в разговоре с RSpectr.

Другой важный момент, который будет влиять на эффективность наказания, – качество доказательной базы

Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян уверен, что наказание в зависимости от размера выручки вызовет сильное сопротивление со стороны операторов, когда их привлекут к ответственности. «Как минимум все решения о вынесении таких штрафов будут до последнего оспариваться в судах. И здесь необходимо серьезно заниматься доказательством факта утечки и ее причины, который включает множество специальных экспертиз», – сообщил он RSpectr.

Ашот Оганесян, DLBI:

– Главная задача здесь – подтверждение источника сведений, на котором базируется достоверность последующего решения, но оно не должно быть слишком дорогим и сложным для заявителя. Пока что стандартная реакция оператора: «Докажите, что информация утекла именно у нас».

Эта позиция практически непробиваема для пострадавших (кроме остатков по банковским счетам), так как требует дорогостоящих и сложных экспертиз, которым обычно активно противодействуют, пояснил А.Оганесян.

Также судьи, которые будут выносить решение, в том числе в апелляционной и кассационной инстанциях, должны обладать специальными знаниями. Пока с этим ситуация еще хуже, чем с самими штрафами, считает глава DLBI.


БИЗНЕС И ГОССТРУКТУРЫ – КТО ОТВЕТИТ?

Естественно, инициатива в первую очередь должна затронуть именно крупнейшие корпорации с госучастием, такие как «Ростелеком», Сбербанк, ВТБ, которые являются крупнейшими операторами ПД, считает М.Емельянников. При этом эксперт признает, что с госструктурами ситуация более сложная – здесь уместней штрафовать должностных лиц, которые отвечают за безопасность личных сведений.

Безусловно, закон должен распространяться в равной степени на государственные и коммерческие организация, потому что с точки зрения субъекта ПД нет разницы, откуда они утекут, сообщил RSpectr руководитель отдела информационной безопасности компании Linxdatacenter Георгий Беляков.

А.Оганесян считает, что было бы странно наказывать от имени государства компании и ведомства, являющиеся его частью.

В отношении госслужащих и сотрудников госкомпаний более эффективной будет личная ответственность, в том числе и финансовая

Однако здесь также необходима проработанная система установления вины конкретных лиц и доказывания их ответственности за утечку данных, уточнил он.

Эксперты по информбезопасности (ИБ) считают, что госкомпаниям необходимо отдать на аутсорсинг профильным фирмам свою ИБ-структуру, либо в центры защиты данных, созданные при поддержке государства, либо полностью государственные.

Алексей Парфентьев, «СёрчИнформ»:

– Проблема госсектора не в отсутствии ИБ-бюджетов или низкой оснащенности защитными инструментами, а в дефиците профильных кадров. Зарплатная политика госучреждения не позволит конкурировать по условиям труда с коммерческим сектором.


ЕВРОПЕЙСКИЙ ПРИМЕР ЗАРАЗИТЕЛЕН

В Евросоюзе уже не первый год применяются денежные наказания в зависимости от размера выручки. Эти санкции предусмотрены «Общим регламентом по защите данных» (GDPR). В ЕС уже четыре года практикуют как штрафы с оборота, так и фиксируемые суммы за утечки. Последние измеряются миллионами евро. Безусловно, такие меры показали результат: европейские компании вынуждены либо лучше охранять данные, либо вовсе не быть оператором ПД, говорит А.Парфентьев. 

На нарушителей может быть наложен штраф в размере до 20 млн евро или до 4% от годового оборота за предыдущий финансовый год

Главный достигнутый эффект в ЕС – устрашение и профилактика дальнейших нарушений со стороны компаний, констатирует А.Орехович.

«Помимо штрафов, которые для корпораций могут быть несущественны, еще важен репутационный ущерб. Это значит, что итоги проверок должны широко освещаться для общественности», – пояснил Е.Суханов.

В России оборотные штрафы тоже появились в законодательстве. В частности, они предусмотрены за отказ блокировки запрещенного в РФ контента. Их размер варьируется от 1/20 до 1/5 годового дохода компании, напомнила А.Орехович.

Также в 2021 году в десять раз вырос штраф за разглашение конфиденциальной информации. В рамках защиты прав потребителей запретили собирать избыточные, ненужные для оказания услуги данные. Звонки «службы безопасности банка» официально приравняли к мошенничеству.

В то же время Г.Беляков считает, что пока утечка ПД не будет наносить реальный и существенный репутационный ущерб операторам, никакие штрафы работать не будут.

Изображение: RSpectr, Adobe Stock

ЕЩЕ ПО ТЕМЕ:

Данные легкого поведения
Как изменился нелегальный рынок продажи персональной информации




Еще по теме

Насколько эффективной будет маркировка синтезированного нейросетью контента

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании