Отношение бизнеса к ужесточению ответственности за утечки персданных неоднозначное
Такие результаты показал опрос, проведенный ООО "СерчИнформ". В нем приняли участие представители 170 компаний.
44% опрошенных выразили уверенность, что ужесточение ответственности за утечки данных выполнит поставленную задачу и приведет к тому, что компании начнут активнее внедрять меры защиты. В трети организаций негативно оценивают инициативу и отмечают, что ужесточение наказания за инциденты, связанные с утечкой персданных, негативно отразится на бизнесе. Компании опасаются избыточного количества проверок и применения одинаковых размеров штрафов для бизнеса разного размера. 23% опрошенных заявили, что штрафы не изменят ситуацию с утечками персональных данных.
Ужесточение ответственности для виновников утечек ПДн активно обсуждается среди законодателей уже почти два года. В начале 2024 г. Госдума в первом чтении приняла законопроект, предусматривающий оборотные штрафы с максимальным порогом в 3% от оборота.
Каким будет эффект от повышения штрафов
Заместитель генерального директора группы компаний "Гарда" Рустэм Хайретдинов считает, что столь высокий показатель сторонников жестких мер связан с тем, что среди респондентов преобладали те, кто не понесет ответственность за возможные нарушения: "Судя по большому количеству сторонников жестких мер и с учетом того, что в исследовании не описан портрет аудитории, в 44% поддерживающих введение оборотных штрафов входят те, кто не несет непосредственно материальную ответственность. Это могут быть специалисты, которые из-за угрозы штрафов потенциально могут получить дополнительное финансирование проектов. Если бы опрос проводился среди бизнесменов или чиновников, когда первые буквально платят из своего кармана, а вторые - средствами бюджета, то сторонников такого наказания рублем, очень вероятно, было бы меньше".
Заместитель генерального директора ООО "Атом Безопасность" (входит в ГК "СКБ Контур") Юрий Драченин считает оценку, полученную в ходе исследования, завышенной: "Можно предположить, что операторов персональных данных, которые против различных запретов, намного больше, чем те 56% (23% и 33% "негативно" и "нейтрально" соответственно), как следует из данных опроса. Скорее, тех, кто не хотел бы, чтобы менялись штрафы за утечки персональных данных, процентов 70-80″.
Ведущий эксперт по кибербезопасности и руководитель ИT-департамента ООО "Первый Бит" Максим Горин считает, что ситуация начнет заметно улучшаться после первых прецедентов применения новых норм: "Я считаю опубликованные данные релевантными. Что касается внедрения средств защиты, то тут все зависит от уровня ответственности оператора персональных данных и стоимости внедрения средств защиты. Для небольших компаний, возможно, будет выгоднее не собирать и не обрабатывать ПДн или найти профильную компанию, которая оказывает такие услуги, и передать ей ответственность за их обработку. Уверен, что часть компаний, которые не используют средства защиты и не могут оценить риски, связанные с нарушением законодательства, начнут это делать сразу же после появления первых публичных кейсов с последствиями новых санкций для других компаний".
Руководитель развития бизнеса по защите данных ПАО "Группа Позитив" (Positive Technologies) Виктор Рыжков назвал законопроект об оборотных штрафах одной из самых горячо обсуждаемых тем в российском ИБ-сообществе: "Мы видим, что компании по-прежнему не понимают, как, например, оценить критичность данных, которые они хранят, или как будут оцениваться их попытки избежать недопустимого события в случае, если данные все равно утекут. Тем не менее с полной уверенностью можно говорить, что многие компании обратили внимание на проблему защищенности данных, которые хранятся в их инфраструктуре, - наши наблюдения совпадают с результатами опроса "СерчИнформ". Также мы считаем релевантными показатели, которые отражают текущую ситуацию на рынке средств защиты".
Технический директор ООО "Айтентика Нева" (ITentika) Александр Чиченин считает данные "СерчИнформ" реалистичными: "Данные, полученные "СерчИнформ", выглядят реалистично. В то же время стоит отметить излишнюю фокусировку на технических аспектах вопроса. Дело в том, что большая часть значимых утечек персональных данных происходит сейчас в первую очередь с использованием социальной инженерии, а не уязвимостей в ПО".
Ведущий инженер CorpSoft24 Михаил Сергеев считает, что повышение ответственности устранит нынешнюю ситуацию, когда программное обеспечение стоит дороже штрафа за утечку: "Проще заплатить штраф, чем покупать и поддерживать дорогостоящий софт, но это относится в основном лишь к небольшому бизнесу. Но малый бизнес не будет заниматься защитой данных, возможно, это будет нерентабельно и не будет окупаться, защита данных и специалисты стоят очень дорого, бизнесу просто неоткуда брать деньги на такую защиту".
"Текущий год открывает нам новую тенденцию - хакеры будут стараться атаковать крупные организации, обрабатывающие большое количество данных. К сожалению, совсем исключать крупные инциденты пока не приходится. Даже несмотря на усиление контура информационной безопасности практически во всех российских компаниях, стоит быть готовыми, что данные могут "утечь" и оттуда. Поэтому расслабляться точно не время, - подчеркнул депутат Госдумы Антон Немкин, комментируя недавний инцидент, в ходе которого в открытый доступ попали более 500 млн записей, содержащих ПДн россиян. - В России должны появиться "доверенные" операторы персональных данных, которые после прохождения специальной аккредитации, докажут, что готовы обеспечивать безопасное хранение конфиденциальной информации не только своих клиентов, но и, например, сторонних организаций".
Менеджер продуктов Innostage Евгений Сурков из числа оптимистов, хотя допускает снижение общего количества заказчиков: "В основном положительно. Однако эффект может быть двояким - например, повысится востребованность и чек у некоторых заказчиков, но при этом снизится число самих заказчиков, произойдет концентрация спроса".
Однако, по мнению аналитиков Kaspersky Digital Footprint Intelligence, уже по итогам 2023 г. четко прослеживается тенденция, что российские компании начали чаще скрывать факты утечек. Свидетельством этому является то, что количество публикаций об утечках данных пользователей в 2023 г. уменьшилось на 8% по сравнению с предыдущим годом, при этом количество опубликованных строк пользовательских данных в 2023 г. увеличилось на 24%.
Для кого защищаться нерентабельно
"Определенно, мы увидим категорию компаний, которые не будут совершенствовать меры по защите данных либо не будут вообще заниматься вопросом их защиты. Те, кто не станет увеличивать инвестиции в безопасность, в основном ориентированы на возможности, нежели на риски - в противном случае сложно говорить о бизнесе как таковом. В принципе, такой подход - часть нормы для предпринимательской деятельности, - обращает внимание Рустэм Хайретдинов. - Кроме того, если посмотреть на структуру утечек, то они редко происходят извне, например, в результате взломов. Как правило, они связаны с проблемами ИТ-инфраструктуры, с облачными хранилищами и т.д. Анализ утечек говорит, что проблема гораздо глубже, чем просто отсутствие средств защиты. Но покупать их все равно будут".
Эксперт Центра продуктов Dozor ГК "Солар" Руслан Добрынин не видит больших перспектив роста выручки у ИБ-вендоров: "Оборотные штрафы, несомненно, несколько подстегнут продажи специализированных средств для борьбы с утечками, однако резкого роста продаж мы не ждем: практически все заметные операторы любых чувствительных данных уже используют DLP-системы. Есть некоторые сомнения, что небольшие коммерческие компании, оперирующие персональными данными, озаботятся внедрением дорогостоящей системы защиты от утечек: в ряде случаев оборотный штраф может оказаться для них дешевле, а репутационный аспект может не слишком их беспокоить, плюс не исключена некоторая излишняя уверенность подобных операторов в собственной защищенности. И персональная уголовная ответственность в таких случаях кажется адекватной мерой воздействия".
Руководитель направления по перспективным ИБ-решениям компании "Системный софт" Егор Петров, напротив, видит большие предпосылки к росту продаж решений, ориентированных на предотвращение утечек: "Обеспечение защиты конфиденциальных данных будет одним из основных фокусов на ближайшие годы, в частности, мы ожидаем рост рынка решений DLP, PAM, DCAP. Конечно, в ряде случаев компании могут принимать тактические решения - скрывать утечки информации и откупаться от злоумышленников, но эти краткосрочные стратегии в итоге также будут приводить к росту количества ИБ-проектов в среднесрочной перспективе".
Директор центра компетенций по информационной безопасности "Т1 Интеграция" Виктор Гулевич обращает внимание, что останутся некоторые категории компаний, которые все равно не будут придавать должного значения защите данных. По его мнению, в зоне риска находятся небольшие компании с ограниченными ресурсами.
Юрий Драченин считает, что нормы по защите ПДн игнорируют те, кто не видят имущественных и репутационных рисков от утечек: "Категории компаний, которые все равно не будут заниматься защитой персональных данных, есть. Некоторые компании заявляли, что штрафы в 200 тыс. руб. не несут для них существенных угроз. И каких-то высоких репутационных рисков для себя они тоже не видят. Поэтому и не прилагают особых усилий в области защиты персональных данных. Также сомнительно, что небольшие компании активно займутся защитой персданных, по инерции полагая, что "авось пронесет" и можно пока не тратиться. Но такой подход, вероятно, уцелеет лишь до первых прецедентов, до первых штрафов и первых показательных историй".
Руководитель направления консалтинга информационной безопасности "Диасофт" Мария Курносова считает, что вендоры должны помочь клиентам из сектора СМБ защититься от злоумышленников: "Как и ранее, защита ПДн по-прежнему будет в приоритете у крупных компаний, государственных организаций, социальных сетей, а также брендов, которые на виду. Размер организации, количество работников или клиентов непосредственно влияют на уровень внимания со стороны регуляторов и проверяющих органов, поэтому для них это не вопрос выбора. Целью мошенников и злоумышленников все больше становятся небольшие компании среднего и малого бизнеса, которые и при введении оборотных штрафов не смогут самостоятельно организовать работающую комплексную систему защиты ПДн. Им нужны надежные поставщики продуктов и услуг, которые позволят решить операционные задачи и защитить данные. Именно в этом сегменте бизнеса идет самая сложная борьба за клиента, и репутация надежного оператора ПДн будет положительно влиять на его выбор".
По оценке руководителя службы информационной безопасности ООО "Онланта" (входит в группу "Ланит") Мурада Мустафаева, защитой данных не будет заниматься малый бизнес: "Причина - нет выделенного для этого бюджета и рук. При этом мало кто знает, что можно воспользоваться услугами облачных провайдеров, у которых установлены сертифицированные средства защиты и решения, которые обойдутся компаниям в небольшой бюджет".
Александр Чиченин добавил в группу риска и средние компании: "Мелкий бизнес и многие компании в среднем сегменте, скорее всего, не смогут себе позволить должный уровень экспертизы, а сторонние вендоры не будут связываться с инфраструктурами мелких компаний. Это приведет к тому, что мелкий и средний бизнес будет полностью переносить хранилища персональных данных - и релевантную инфраструктуру - в облако".
Евгений Сурков допускает, что многие компании выведут обработку ПДн за периметр организации: "Могут пересмотреть активности, завязанные на персональных данных, прежде всего компании, для которых обработка таких данных - побочное направление. В этом случае опцией становится делегирование операций с данными, вынос их за пределы организации. Итогом может стать большая концентрация потоков и массивов данных, рост продаж сервисов информационной безопасности операторам таких массивов. С другой стороны, компании, зарабатывающие на данных напрямую или серьезным образом оптимизирующие на их основе финансовые показатели, с большей долей вероятности попытаются сами выстроить систему противодействия утечкам - либо управления последствиями утечек, включая механизмы сокрытия и отрицания информации о факте утечки".
Виктор Рыжков считает, что клиенты испытывают нехватку современных технических решений для обеспечения безопасности данных и потому вынуждены использовать непрофильные или морально устаревшие продукты, что, в свою очередь, приводит к операционной неэффективности и чрезмерным тратам бюджетов ИБ: "Дело в том, что основные классы средств защиты данных сформированы еще 10-15 лет назад, то есть создавались под другие реалии, когда было достаточно решения отдельных задач: один продукт защищает базы данных, другой - файловые хранилища, а третий - маскирует данные. Однако инфраструктура данных современной организации за последние годы эволюционировала и кратно выросла в объемах. В новых реалиях изменились и требования к средствам информационной безопасности. Мы все чаще слышим от клиентов запрос на унифицированный подход".
По мнению Егора Петрова, количество компаний, которые будут игнорировать внедрение защитных мер, будет неуклонно снижаться: "Некоторые компании могут оценивать риск враждебного проникновения или получения штрафа ниже, чем стоимость бюджета на формирование защищенного периметра компании. Однако, с нашей точки зрения, это краткосрочная стратегия, которая не учитывает появление "черных лебедей".
Как сделать регулирование действенным
Виктор Гулевич полагает, что по-настоящему эффективные регуляторные меры должны быть комплексными: "Регуляторные меры, которые будут действительно работать, включают в себя комплекс мер по отслеживанию компаниями выполнения отраслевых стандартов безопасности данных, мероприятия по своевременному информированию о новых типах угроз и штрафные санкции".
Мария Курносова видит роль регулятора в том, чтобы бизнес не собирал избыточные объемы персональных данных: "Полагаем, что создание правовой экосистемы, в которой операторы ПДн не будут обрабатывать информационные потоки объективно ненужных для бизнеса данных, позволит существенно повысить защищенность ПДн. В том числе и организациям будет экономически выгодно выполнять подобные требования - это снизит риск штрафных санкций и величину непрямых расходов на информационную безопасность".
Михаил Сергеев считает, что регуляторика должна способствовать тому, чтобы компании внедряли технические и организационные меры по защите ПДн: "Необходимо периодически проводить аудит безопасности данных, обучать персонал, бесплатно предоставлять и поддерживать современное программное обеспечение для защиты данных, использовать шифрование и двухфакторную аутентификацию для доступа к данным. А простое введение оборотных штрафов будет лишь банкротить многие компании".
"Механизмов может быть много, однако действенными будут только те, что могут существенно повлиять на бизнес в случае соответствующей утечки персональных данных. Мы живем в век массовых утечек, и это надо как-то останавливать, ведь утечки осуществляются именно за счет экономии на безопасности информации", - полагает директор продуктового направления защиты данных АО "Аладдин Р.Д." Денис Суховей.
"Оборотные штрафы - как раз мера из разряда действенных. И персональная ответственность людей, работающих с персональными данными, тоже очень важна. Две трети всех утечек происходят по вине сотрудников, которые не отвечают за свои действия, не думают, какие данные и куда они передают. Зачастую это обычная халатность и безответственность. А значит, предлагаемые меры могут и будут работать - на цифровую гигиену, на повышение уровня персональной ответственности и операторов, и всех, кто работает с персональными данными, - считает Юрий Драченин. - Кажется, что есть необходимость во внедрении регуляторами какого-то инструмента контроля репутационных рисков, что для крупных компаний может оказаться важнее, чем крупные оборотные штрафы. Если для небольших компаний репутационный риск может стать решающим фактором, даже погубить бизнес, то для крупных компаний такой угрозы, по сути, сейчас нет. Например, те же банки ничем не рискуют: если какой-то негатив и случится, то по большому счету клиенты от них все равно не откажутся".
"Регуляторные меры работают, когда они персональные. Когда люди отвечают рабочим местом или кошельком, тогда они становятся более ответственными или меняют место работы, - уверен Рустэм Хайретдинов. - Сотрудники информационной безопасности и так отвечают за слишком многое. Если мы будем пугать их штрафами, увольнениями и уголовными статьями, желающих защищать наши с вами данные будет немного. Все же надо понимать, что основная угроза находится снаружи и нужно совершенствовать законодательство и правоприменение, чтобы бороться именно с этой угрозой".
По мнению Мурада Мустафаева, оборотные штрафы будут работать, если, например, выставить счет за утечку персональных данных сотруднику/руководителю подразделения, по чьей вине произошла утечка: "После двух случаев сотрудники задумаются о важности защиты персональных данных, которыми оперирует бизнес. Пока, кажется, большинство надеется на авось, что и способствует увеличению утечек ПДн".
По мнению эксперта по информационной безопасности ООО "Новые облачные технологии" ("Мой Офис") Дмитрия Костина, действенной регуляторной мерой могут стать выездные проверки регуляторов.
Соблазн переложить на других
По мнению экспертов, усиление ответственности для операторов ПДн увеличивает риск, что они будут пытаться "перевести стрелки" на вендоров ПО и поставщиков сервисов. По мнению Александра Чиченина, такие опасения будут способствовать росту популярности облачных сервисов. "Разумеется, есть риск, что по мере роста количества привлечения компаний, допустивших утечки, будут пытаться "переводить стрелки" на разработчиков прикладного ПО и поставщиков сервисов, ссылаясь на разного рода уязвимости и прочие проблемы, но ответственность все же будет нести компания, непосредственно владеющая хранилищами данных. Это, в свою очередь, тоже приведет к постепенной популяризации облачных хранилищ от крупных провайдеров - "Яндекса", "Сбера", VK и т.п., которые могут себе позволить необходимые затраты на обеспечение ИБ", - говорит он.
Юрий Драченин считает такой соблазн практически неизбежным: "Риски по переводу ответственности, "поиску стрелочника" есть всегда, правда, непонятно, как именно будут перекладывать ответственность именно на производителей ПО. Скорее всего, будут апеллировать не к недостаткам ПО, а к невозможности доказать, откуда именно и по чьей вине утекли данные. Вероятно, аргументы, кто же виноват, могут выявиться по итогам анализа возможных судебных дел. Хотелось бы, чтобы регуляторы более лояльно относились к компаниям, которые предприняли все меры по защите персональных данных, обеспечили цифровую гигиену и вели работу с утечками. Добавлю, что это касается не только персданных, но и информации, отнесенной к коммерческой тайне. Сейчас этой теме не уделяется достаточно внимания, но инсайдеры всегда были и будут, они пользуются этой информацией. Поэтому любой организации важно выстроить работу комплексно: противодействие инсайдерам, работа внутри организации и с производителями ПО, грамотная юридическая защита позволят в итоге свести утечки к минимуму".
"С ростом количества случаев утечек данных такой риск, действительно, существует. Однако важно понимать, что конечная ответственность за защиту данных лежит на самой компании, и она должна заботиться о безопасности данных независимо от того, кем разработаны используемые программы или услуги, - предупреждает Виктор Гулевич. - В данном случае компании обязаны предъявлять повышенные требования по информационной безопасности как к приобретаемому партнерскому ПО, так и к уровню обеспечения ИБ самих поставщиков сервисов".
Однако, по оценке Мурада Мустафаева, законодательство четко устанавливает, что только оператор персональных данных несет ответственность за сбор, обработку, хранение и, в свою очередь, утечку ПДн: "Перевод стрелок" на разработчиков ПО ни к чему не приведет. С другой стороны, к сожалению, часто в компаниях принято покупать подешевле и только на бумаге. С ростом разнообразия мошеннических схем персональные данные являются серьезным активом, и бизнесу стоит переживать за их сохранность, чтобы не понести финансовые и репутационные риски. Именно поэтому только верно подобранные, грамотно внедренные и настроенные средства защиты информации гарантируют сохранность персональных данных. Но затраты на информационную безопасность, к сожалению, относятся к категории "по остаточному признаку".
"И для клиента, и для вендора есть только один параметр, снимающий все возможные риски, - прохождение сертификации. Если клиент адекватно и корректно использует сертифицированный продукт шифрования, то это означает, что угрозы оценены реалистично, риски просчитаны и снижены, компрометация персональных данных предотвращается", - считает Денис Суховей.
ГК InfoWatch отказалась от комментариев.
