Не только утечки
IT / Статьи
информбезопасность персональные данные
17.1.2023

Не только утечки

Какой должна быть защита персональных данных в 2023 году

Российские компании замерли в ожидании введения оборотных штрафов за утечку персональных данных (ПД). Президент РФ уже поручил правительству заняться этим вопросом. Однако сфера ПД не ограничивается утечками и штрафами. Сколько сейчас получают специалисты по защите ПД, как компаниям нужно готовиться к проверкам Роскомнадзора и на что нужно обратить внимание при обработке и хранении чувствительной информации – в материале RSpectr.

ВСЕ НА ЗАЩИТУ, ИЛИ КАДРЫ РЕШАЮТ

Президент РФ Владимир Путин поручил правительству до 1 июля 2023 года рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных (ПД), а также усилить ответственность за их незаконный оборот.

Об особом внимании к этой теме заявил глава Комитета Госдумы по информполитике Александр Хинштейн. По его словам, ужесточение закона и введение оборотных штрафов – это «разумная и своевременная мера», с ее помощью государство защищает права граждан. Депутат подчеркнул, что

теперь у компаний появится реальная мотивация инвестировать в безопасность, а не просто оплачивать копеечные штрафы

Новые меры, в том или ином виде, скорее всего, будут введены раньше указанного главой государства срока, отметил исполнительный директор и основатель компании Б-152 Максим Лагутин на вебинаре.

Также существенным фактором, влияющим на развитие отрасли, станет дефицит подготовленных специалистов по работе с персданными, или Data Protection Officer (DPO), на российском рынке. Начало кадрового голода в отечественной индустрии защиты чувствительной информации совпало с локдаунами 2020-2021 годов. В этот период до РФ дошла волна интереса к сфере ПД после принятого в 2018 году Общего регламента по защите данных (GDPR) Евросоюза. По свидетельству эксперта,

тогда зарплаты специалистов по защите персональных данных были «совершенно огромными» – их верхняя граница доходила до 600-700 тыс. рублей в месяц

Это было естественно, ведь изменения в индустрии были также колоссальными и бизнес понимал, что уже не получится делать документы раз в два-три года, подчеркнул он.

Максим Лагутин, Б-152:

– Сейчас уровень зарплат немного снизился, тем не менее интерес к профессии растет. Об этом свидетельствует работа как минимум четырех учебных курсов по подготовке соответствующих специалистов. Крутому, очень опытному DPO в Москве платят около 250-300 тыс. рублей.

Кадровый дефицит усугубляется отъездом некоторых сотрудников за границу. Это очень важный момент, обратил внимание Максим Лагутин, потому что

многие работодатели не готовы брать специалиста по защите персданных на дистанционную работу

Как показал опрос, проведенный компанией Б-152 в декабре 2022 года, ответственные за организацию обработки ПД на полную ставку или по совмещению назначены в 44% российских компаний. Год назад этот показатель составлял 25%.

Специалисты по защите персданных в основном работают в IT-компаниях, медиа- и телеком-отрасли. При этом чаще других ими становятся юристы (37%), специалисты по информационной безопасности (26%) и HR-сотрудники (9%).

Наибольшее число DPO работает в организациях, штат которых составляет 100–500 человек (26%), а также в компаниях с более чем 1 тыс. работников (17%), поделился глава Б-152.

И ТЕБЯ ПРОВЕРЯТ

Несмотря на то что мораторий на проверки бизнеса в 2023 году продлен, Роскомнадзор (РКН) обязательно обращает внимание на компании, допустившие утечки ПД, особенно после заявлений физических лиц, рассказал Максим Лагутин. Кроме того, ведомство предупреждает о несоответствии политики конфиденциальности или отсутствии согласий на обработку данных на веб-сайте.

Он подчеркнул, что

Роскомнадзор получил отдельные полномочия проверять сайты организаций, составлять протоколы об административных нарушениях и напрямую, минуя органы прокуратуры, направлять их в суд

Уведомления об утечках ПД, введенные в сентябре 2022 года, в нынешнем году могут также серьезно повлиять на бизнес, особенно в связи с возможным введением оборотных штрафов.

Максим Лагутин, Б-152:

– Если подобное произошло – нужно обязательно сообщать в Роскомнадзор. В течение суток вы обязаны проанализировать, как произошел инцидент, и выявить каналы утечки, понять, какие сведения пропали, а также их актуальность. Если уведомление в РКН не было отправлено, то ведомство само придет к вам с проверкой.

Уведомления о киберинцидентах особенно важны, если в результате инцидента пострадали более 1 тыс. субъектов ПД – за этим строго следит РКН, обратил внимание он.

В 2023 году, возможно, будет внедрен инструмент добровольной сертификации средств киберзащиты бизнеса согласно требованиям безопасности Федеральной службы по техническому и экспортному контролю (ФСТЭК России) или ФСБ. По мнению Максима Лагутина, это значительно упростит жизнь крупному бизнесу, которому будет проще организовать работу соответствующего оборудования.

Другим существенным фактором, оказывающим влияние на бизнес, станет детализация политики конфиденциальности.

Максим Лагутин, Б-152:

– Много лет Роскомнадзор повторял, что политика конфиденциальности должна быть детализирована, чтобы все цели обработки данных были прописаны. С сентября 2022 года ведомство проверяет сайты компаний и сообщает: «видим у вас на сайте куки, а в политике этого не указано». Это является нарушением, за которое возможно наказание.

На фоне расширения применяемых штрафных мер популярность страховок от киберинцидентов обязательно возрастет. По словам эксперта, такой инструмент станет выходом для многих компаний.

Тимур Халудоров

Изображение: RSpectr, Adobe Stock, Freepik

Еще по теме

Как запустить отечественный Open Source

Что делают вузы для преодоления кадрового голода в отрасли

Каких мер господдержки ждут разработчики ВКС-решений

В правительстве РФ заявили о перевыполнении планов по программе «Цифровая экономика»

Что стоит за ростом производства компьютеров в России

Мотивировать IT-специалистов к возвращению из эмиграции предлагается законодательно оформленной бронью и расширением льгот

Перспективы сертификации кибербезопасников в РФ и поможет ли она остановить утечки данных

Какие эффекты ожидаются от использования информсистемы пространственных данных

На портале можно будет записаться на прием к юристам

Каковы итоги уходящего года и перспективы будущего для рынка 1С

Как будет развиваться рынок low-code в России

Как в 2022 году проходило импортозамещение на рынке вычислительной техники

Какую архитектуру выбрать при разработке сложного приложения для крупного бизнеса

Как продолжить верить в Деда Мороза, но не попасть в новогоднюю аферу

Сможет ли искусственный интеллект проверять школьные сочинения