Минэкономразвития предлагает распространить оборотные штрафы за утечки персональных данных на поставщиков решений в области информбезопасности. Об этом в понедельник, 25 ноября, заявил директор департамента цифрового развития и экономики данных Минэка Владимир Волошин на круглом столе в Госдуме, передает корреспондент РБК , источник.
Как пояснил Волошин, проведенный Минэком анализ показал, что, если бы рассматриваемый сейчас Госдумой законопроект об оборотных штрафах за утечки данных был принят год назад, его реализация могла бы привести к тому, что четыре из пяти компаний малого и среднего бизнеса, попавших под подобные штрафы, оказались бы на грани банкротства.
«Судя по комментариям представителей разработчиков продуктов информационной безопасности, они уверены в наличии всех необходимых решений для защиты данных. В связи с этим предлагается рассмотреть возможность распространения оборотных штрафов на самих разработчиков в случае, если утечка произошла, и специализированное программное обеспечение не смогло обеспечить должный уровень защиты», — отметил Владимир Волошин.
С предложением согласился замдиректора Федеральной службы по техническому и экспортному контролю (ФСТЭК) Виталий Лютиков. По его словам, ответственность за утечки должны нести не только операторы персональных данных.
Если причиной утечки стала уязвимость в программном обеспечении, то ответственность за это нужно разделять с разработчиком этого софта, а если интегратор или центр мониторинга информационной безопасности (Security Operations Center, SOC) не отреагировали на события в части безопасности должным образом, то отвечать должны и они.
В конце 2023 года ФСТЭК получила полномочия оценивать состояние защиты информации. В 2024 году служба проверила более 100 организаций и выяснила, что базовый уровень безопасности обеспечивают лишь 10% из них, в 39% уровень защиты информации был низким, в 51% — катастрофическим.
Как планируют наказывать за утечки
Законопроект о введении оборотных штрафов и усилении уголовной ответственности за утечки персональных данных обсуждается с 2022 года. Соответствующие поправки в Административный и Уголовный кодексы в Госдуму внесла группа сенаторов и депутатов в середине прошлого года.
В первой версии предлагалось увеличить штрафы для юрлиц до 3–5 млн руб., если утечка затрагивает от 1 до 10 тыс. субъектов персональных данных (граждан); до 5–10 млн руб., если затрагивает от 10 до 100 тыс. субъектов и до 10–15 млн руб., если более 100 тыс. субъектов.
За повторное нарушение, независимо от объема утекших данных, предлагалось ввести штраф в размере от 0,1 до 3% годовой выручки за предшествующий календарный год или за часть текущего года. При этом минимальный штраф должен составить 15 млн руб., а максимальный — 500 млн руб.
В январе 2024 года законопроект был принят в первом чтении, второе и третье чтение ожидаются во вторник, 26 ноября. В середине ноября Forbes писал со ссылкой на версию проекта ко второму чтению, что минимальный штраф для юрлиц за повторные утечки данных вырастет до 1–3% от годовой выручки, для должностных лиц он снизится с 3–5 млн руб. до 1,1–1,2 млн руб.
При этом документ вводит смягчающие обстоятельства для компаний, инвестирующих не менее 0,1% годовой выручки в информационную безопасность. Также компании должны будут иметь лицензию ФСБ на разработку криптографических систем или сотрудничать с лицензированным подрядчиком. Банкам разрешат рассчитывать штрафы на основе объема капитала. В то же время собеседник Forbes оговаривался, что эта версия законопроекта еще не согласована с правительством.
Зачем разделять ответственность
Как пояснил Волошин РБК, законодательство в отношении утечек данных нужно менять, но важно учитывать все возможные социально-экономические последствия, поскольку практически все компании используют персональные данные. Введение новых штрафов в рамках предлагаемой конструкции, по его мнению, может создать серьезные риски для ряда отраслей, таких как туризм, транспорт, строительство, энергетика, банковская сфера, маркетплейсы, медицина, видеоигры, образование и связь. Особенно это касается сектора малых и средних предприятий.
По его словам, представители компаний из перечисленных отраслей уже выражают обеспокоенность возможными последствиями. Волошин подчеркнул, что изменить процессы работы с данными до вступления новых норм в силу будет невозможно из-за нехватки финансовых ресурсов, кадров и соответствующих программных продуктов на рынке.
По его мнению, это может привести к тому, что часть проектов, связанных с развитием рынка данных, включая заявленный в нацпроекте «Экономика данных», могут урезать. В ряде отраслей может произойти «цифровая деградация», часть используемых сервисов могут отключить.
Руководитель группы по сопровождению GR-проектов ГК «Солар» Андрей Медунов отметил, что любая ответственность должна распространяться на лиц, которые повлияли на появление негативных последствий, но он не уверен, что этот вопрос необходимо вписывать в законодательство, поскольку его можно урегулировать в договорах.
«Будь это центр мониторинга или поставщик решений информационной безопасности, он должен нести ответственность за утечку, но важно учитывать степень влияния и доказательства его виновности (неэффективность продукта, несвоевременное реагирование).
Операторов персональных данных с поставщиками решений информационной безопасности и центрами мониторинга связывают коммерческие отношения, в рамках которых возможно предусмотреть формы финансовой ответственности в случае утечки», — рассуждает Медунов.
Важно, чтобы при разработке нормативных актов учитывалось не только наличие какого-либо ИБ-решения, но также указывалось, что компания должна его корректно установить и настроить по инструкции вендора, регулярно проводить обучение своих сотрудников работе с данным средством защиты информации, организовать процесс мониторинга и реагирования на инциденты, о которых будет сообщать решение, с четко заданным временем на реакцию администратора IT или офицера ИБ, сказал РБК представитель «Лаборатории Касперского».
Если это не предусмотреть, то просто факт покупки антивирусного решения или любого другого средства защиты информации не может гарантировать, что защита обеспечена на должном уровне, считает он.