Застрахуй утечку

Как повлияет система обязательного страхования от утечек на операторов ПД

Роскомнадзор предложил в законопроекте о страховании субъектов персональных данных (ПД) от утечек предусмотреть специальный механизм аккредитации компаний-операторов, а также возможность уплаты штрафов без банкротства предприятий. О том, какие сценарии страхования субъектов ПД от утечек видят эксперты, читайте в материале RSpectr.

ЦЕЛЬ СТРАХОВКИ

О новых инициативах заявил замглавы Роскомнадзора Милош Вагнер на прошедшем 22 февраля в Совете Федерации заседании секции Совета по развитию цифровой экономики «Обеспечение технологического суверенитета и информационной безопасности РФ».

Милош Вагнер, Роскомнадзор:

– Предлагаемый механизм обязывает оператора иметь страховку или иные финансовые механизмы. Его нужно адресовывать компаниям, которые обрабатывают значительное число персданных: от 100 тыс. или от 1 млн записей.

Речь идет о подготовленном в Совете федерации законопроекте, который призван сформировать механизм покрытия рисков из-за утечек личной информации для компаний и граждан.

Он считает, что следует не только предъявлять требования к операторам ПД, но и предусмотреть механизм специальной аккредитации, а также увязать его с размером возможного наказания, предусмотренного законопроектом о персональных данных. По мнению замглавы ведомства,

СТРАХОВАТЬ НУЖНО НЕ ТОЛЬКО РИСКИ, СВЯЗАННЫЕ С КОМПЕНСАЦИЕЙ НАРУШЕНИЙ ПРАВ СУБЪЕКТОВ ПД, НО И ОПЕРАТОРОВ, КОТОРЫЕ ОБРАБАТЫВАЮТ ЗНАЧИТЕЛЬНОЕ ЧИСЛО ДАННЫХ

Депутат Госдумы Антон Немкин в беседе с RSpectr рассказал, что разработчики законопроекта изначально делали упор на механизм компенсации убытков людям, чьи данные попали в утечку.

Антон Немкин, Госдума:

– Другой вопрос, не начнут ли компании «откупаться» от пострадавших клиентов купонами на скидку, минимальными выплатами и прочим, чтобы избежать наказания. Именно поэтому введение такого механизма требует тщательной проработки, чтобы учесть все нюансы и не сделать хуже.

По его словам, предложенный механизм обязывает каждого крупного оператора ПД иметь страхование на случай утечки, чтобы провинившиеся компании могли как минимум выплачивать штрафы, – а они уже скоро вырастут кратно после принятия законопроекта о введении оборотных штрафов для операторов данных за утечки.

«Такой подход не станет индульгенцией для компаний – значительные штрафы ведь все равно придется платить. Скорее, наоборот, уйти от наказания благодаря этому механизму точно не получится, придется ответить за допущенную халатность», – полагает депутат.

К СПРАВЕДЛИВОЙ МОДЕЛИ

Система вмененного страхования при правильной организации может принести пользу рынку, включая развитие культуры работы с данными и в целом повышение зрелости подходов к защите персональной информации, считает юрист Comply Элина Муханова.

Элина Муханова, Comply:

– Однако инициатива страхования вместе с финансовыми рисками бизнеса из утечек ПД, а также стоимость усиленной защиты данных бизнесом в итоге лягут на плечи потребителей в виде увеличенной стоимости дата- и иных продуктов и сервисов.

А ВОТ АККРЕДИТАЦИЯ ОПЕРАТОРОВ ЗВУЧИТ НЕПОНЯТНО В КОНТЕКСТЕ ВЫГОД ДЛЯ РЫНКА

продолжает Элина Муханова.

Если аккредитация будет предполагать некую сегрегацию или категоризацию требований в части работы с данными к компаниям разного масштаба, отраслей и категорий, то такую инициативу можно только приветствовать, уверена Элина Муханова. В этом случае должны быть разработаны совместно с регулятором и бизнес-ассоциациями некие стандарты с учетом масштаба и специфики различных компаний.

Кроме этого, аккредитация должна строиться с учетом не только количества обрабатываем ПД, но и других аспектов обработки, влияющих на риски субъектов. Например, категории и чувствительность данных, используемые технологии обработки, количество лиц, участвующих в обработке.

ПОКА НЕПОНЯТНО В РАМКАХ ИНИЦИАТИВЫ ПО АККРЕДИТАЦИИ, ЧТО СЧИТАТЬ ОДНОЙ ЗАПИСЬЮ

«Может ли для одного субъекта быть несколько записей у одного и того же оператора, или 1 запись = 1 субъект ПД? Отсутствие конкретики может привести или к излишнему бремени для оператора, или наоборот, недостаточной защите ПД субъектов, что в итоге негативно скажется и на операторах, и на субъектах ПД», – полагает юрист.

По ее мнению, от банкротства бизнес может и должно защищать не страхование ответственности, а понятная, справедливая и прозрачная модель применения штрафов. Она должна включать разработку и внедрение в законодательство перечня смягчающих обстоятельств для бизнеса при расчете штрафов за утечки ПД и/или скоринговую модель.

Возможная компенсация убытков компаний от утечки за счет страхования может снизить риски самой организации, считает консультант по персональным данным Александр Партин. Но подобный механизм подтолкнет компанию к усилению защиты, если только это будет требованием со стороны страховщика, отметил он в беседе с RSpectr.

В пресс-службе Ассоциации больших данных (АБД) RSpectr сообщили, что механизм компенсаций субъектам за утечки требует проработки вариантов администрирования: «Мы не считаем, что его введение будет способствовать снижению утечек ПД, скорее, наоборот».

ПРЕЗУМПЦИЯ ВИНОВНОСТИ

Вице-президент по информационной безопасности «Ростелеком» Игорь Ляпунов на заседании в Совете Федерации обратил внимание на важный нюанс, который пока не определен в законопроекте: способ доказательства факта произошедшей утечки, а, значит, и «виновности» оператора персданных.

Эксперт полагает, что в России должны появиться специальные механизмы: методика и институт независимой оценки защищенности.

Игорь Ляпунов, «Ростелеком»:

– Это мировая практика, когда есть аккредитованные компании, которые производят такую оценку. Также существует страхование ответственности независимого оценщика.

По его мнению, конструкция «страхование – независимая оценка – методика – ответственность оценщика» даст колоссальный прорыв в регулировании.

Из почти 100 страховых компаний, работающих на российском рынке, только 6 имеют опыт работы с киберрисками, уточнил на заседании директор по рискам СК «Сбербанк Страхование» Владимир Новиков.

Владимир Новиков, СК «Сбербанк Страхование»:

– Сегодня мы можем предоставить страховую защиту без потери устойчивости страховых компаний на уровне 1 млрд рублей на один случай.

Владимир Новиков полагает, что

ИМЕЕТ СМЫСЛ ИСПОЛЬЗОВАТЬ ОПЫТ ОБЯЗАТЕЛЬНОГО СТРАХОВАНИЯ ОТВЕТСТВЕННОСТИ ПЕРЕВОЗЧИКОВ

Он призвал Минцифры и Роскомнадзор разработать типовой продукт в рамках саморегулирования рынка страхования на начальном этапе.

Генеральный директор «Комфортел» Дмитрий Петров рассказал RSpectr, что решение проблемы незаконного распространения персональных данных не должно сводиться к новым процедурам аккредитации или страхованию рисков операторов. Вместо этого, возможно, стоит обратить внимание на усиление уголовной ответственности для граждан за кражу и распространение подобной информации, полагает он.

Дмитрий Петров, «Комфортел»:

– Именно отсутствие существенной ответственности для граждан является причиной роста числа инцидентов с утечками данных.

НАСКВОЗЬ ВИЖУ

Создание системы финансовых гарантий для возмещения ущерба от утечки персональных данных предполагает несколько вариантов источников компенсации, что, конечно же, облегчит возможность получения необходимых выплат, считает член Ассоциации юристов России Мария Спиридонова. «Однако данный законопроект следует доработать и уточнить, какие случаи являются страховыми, какие риски не покрываются страхованием, каким образом рассчитывается ущерб, какие органы будут контролировать исполнение обязанности страхователями по формированию гарантий», – прокомментировала она RSpectr.

Член Ассоциации юристов России Дмитрий Хаустов в беседе с RSpectr отметил важность определения рисков, которые будут страховать операторы у страховщиков.

Принятие законопроекта, по мнению некоторых экспертов, может привести к тому, что операторы ПД будут скрывать факты инцидентов с данными граждан. «Компании и сейчас практически не имеют стимулов раскрывать информацию об утечке. Единственный возможный “пряник” – смягчение административной ответственности. Притом, что компании обязаны уведомить об утечке уполномоченные органы и за отсутствие уведомления налагается штраф», – считает Александр Партин.

Антон Немкин, Госдума:

– Сейчас они беспокоятся о своей репутации, а после кратного усиления ответственности за утечки и введения увеличенных штрафов будут переживать и за финансовые потери, которые могут достигать полумиллиарда рублей.

В беседе с RSpectr депутат подчеркнул, что российским компаниям нужно понимать главное:

СВОЕВРЕМЕННОЕ УВЕДОМЛЕНИЕ РОСКОМНАДЗОРА ОБ УТЕЧКЕ ДАЕТ ВОЗМОЖНОСТЬ ВЕДОМСТВУ ПРОАНАЛИЗИРОВАТЬ ЭТУ ИНФОРМАЦИЮ И ПОМОЧЬ ИМ БОРОТЬСЯ С ЕЕ ПОСЛЕДСТВИЯМИ

«Кроме того, нужно учитывать, что сейчас мошенники на основании уже утекших данных стали профилировать не только отдельных граждан, а целые группы и сообщества», – напомнил Антон Немкин.

Скрыть масштабную утечку данных точно не получится, даже если провинившийся оператор будет пытаться назвать данные компиляцией. Для того чтобы начать расследование, Роскомнадзору не нужно уведомление от компании – ведомство в любом случае увидит дампы с данными в Сети, изучит их, отследит и определит виновного, подчеркнул депутат.

Екатерина Лаштун