Правительство и администрация президента не одобрили смягчение штрафов за утечки персональных данных
Как стало известно изданию РБК, российское правительство 22 апреля согласовало ко второму чтению версию поправок в Уголовный кодекс, ужесточающих ответственность за утечки персональных данных. В тот же день администрация президента также не поддержала смягчение наказания за утечки данных для бизнеса при условии, что компании выделяют средства на кибербезопасность и компенсируют ущерб. Соответствующий законопроект внесли в декабре 2023 г. председатель комитета Государственной Думы по информационной политике, информационным технологиям и связи Александр Хинштейн, а также сенаторы Андрей Клишас и Андрей Турчак. В январе 2024 г. законопроект прошел первое чтение.
https://www.comnews.ru/content/230849/2023-12-22/2023-w51/1008/gosudars…
В конце декабря 2023 г. Ассоциация больших данных обратилась с письмом в комитет Госдумы по госстроительству и законодательству. В данном документе авторы предлагали уточнить ряд формулировок и смягчить ответственность в ряде случаев, в том числе для компаний, которые выделяют средства на обеспечение безопасности данных и компенсировали ущерб пострадавшим.
https://www.comnews.ru/content/231024/2024-01-16/2024-w03/1009/biznes-p…
Как отметил на XIII Форуме безопасного интернета член совета при президенте Российской Федерации по развитию гражданского общества и правам человека, президент ООО "Ашманов и партнеры" Игорь Ашманов, попытки сохранить, насколько это возможно, существующий status quo со стороны крупнейших цифровых платформ, которые являются учредителями Ассоциации больших данных, успехом не увенчались. По его мнению, именно крупные цифровые платформы и стоят за крупнейшими утечками данных жителей России, и они крайне не заинтересованы в ужесточении законодательства по защите персональных данных, поскольку перевод ответственности из административной плоскости в уголовную позволит провести полноценное расследование инцидента, что, с большой долей вероятности, вскроет факты масштабной некомпетентности и халатности персонала цифровых экосистем и платформ. Штрафы, в том числе оборотные, как подчеркнул Игорь Ашманов, для крупных компаний не являются серьезным наказанием.
Генеральный директор облачного провайдера "Нубес" (Nubes) Василий Степаненко не считает позицию Ассоциации больших данных лоббированием смягчения наказаний: "О лоббировании смягчения речи не идет. Важен принцип: наказание за проступок должно наступать только в случае, если доказано, что он совершен. И при этом ответственность должна быть соразмерной проступку. Но в нынешних условиях доказать утечку данных сложно. Мы видим много ложных рассказов от хакеров о громких взломах и утечках, а потом оказывается, что "взломанные и украденные" базы персональных данных составлены из разных кусков других баз и не имеют отношения к организации или компании, которую якобы взломали. Кроме того, точно сказать, сколько именно данных утекло, в большинстве случаев может разве что хакер, который ломал базу. При этом, если закрутить гайки по ответственности за персданные - бизнес просто не сможет нормально работать, ведь без знания клиента, а значит работы с его ПДн, в цифровом мире развиваться практически невозможно. Сейчас не самое удачное время, чтобы давить на бизнес".
Заместитель генерального директора группы компаний "Гарда" Рустэм Хайретдинов согласен, что большие массивы данных могут утечь только из больших цифровых систем, хотя статистика инцидентов является несколько однобокой и в нее попадает не все: "В других источниках таких объемов просто нет. Однако и защита инфраструктуры и данных у больших цифровых систем на порядок более зрелая и качественная, чем у небольших сервисов. Скомпилировать утечки из небольших интернет-магазинов, региональных реестров, обогатить их открытыми данными - дело довольно простое, и сравнивать мощности одного и другого я бы не взялся. Статистика по открытым источникам несколько однобока: публичными становятся только утечки, которые вызывают широкий резонанс. Маленькие регулярные утечки неинтересны прессе и потому так и остаются в недрах даркнета, хотя представляют не меньшую угрозу, поскольку длятся они долго. Проверить актуальность данных даже у публично доступных массивов - непростая работа. Поэтому я скорее бы сказал, что утечки из больших цифровых платформ, ставшие публичными, вызывают больший общественный резонанс, чем другие утечки".
Ведущий инженер CorpSoft24 Михаил Сергеев назвал два возможных сценария масштабных утечек: "Может идти речь о целенаправленной атаке на конкретный ресурс для похищения базы данных, которая содержит нужную злоумышленнику информацию, в том числе персональные данные. Этот вариант сложен, требует больших ресурсов и может быть вообще не реализован. Второй - связан с поиском известных уязвимостей через различные сканеры. Огромное количество владельцев платформ игнорируют различные процедуры по защите системы, не выполняют обновление платформы, через определенное время сканеры находят их и взламывают, а данные оказываются в публичном доступе. Подобных систем очень много, и можно сказать, что они являются основным источником утечек персональных данных".
Ведущий консультант по информационной безопасности Innostage Татьяна Никанорова связывает массовые утечки данных в России с недостаточным уровнем зрелости процессов защиты в компаниях: "По данным Innostage, более 85% утечек персональных данных за 2023 г. произошли в сегментах, связанных с услугами в интернете: сфере доставки, в интернет-магазинах, у сайтов покупки билетов и туров, новостных порталов и социальных сетей. Основной причиной большого количества утечек цифровых платформ является доступность и массовость размещения персональных данных пользователями, а также отсутствие необходимого уровня зрелости процессов защиты и обработки ПДн. Введение уголовной ответственности направлено на снижение роста преступлений, связанных с незаконным использованием, передачей, сбором и хранением персональных данных. Улучшению качества расследования инцидентов утечки должно способствовать повышение осведомленности специалистов, ответственных за обеспечение ИБ, о принятых нормативных актах, регламентирующих порядки расследования инцидентов и взаимодействия с регуляторами, а также совершенствование технических знаний работников, расследующих инциденты, в том числе в области компьютерной криминалистики - Digital Forensic".
Василий Степаненко считает, что необходимо прежде всего добиваться гарантии обеспечения защиты данных, а не повышения ответственности для нарушителей: "Введение уголовной ответственности усилит значимость вопроса сохранности персданных в глазах руководства компаний, которые ПДн обрабатывают и хранят. Однако важно обеспечивать реальную защиту данных, а не усиливать страх бизнеса перед наказанием, парализуя его работу. Какая-то информация уже утекла в Сеть, и найти информацию можно практически про любого субъекта персданных. При этом уверенно утверждать, свежая утечка или прошлогодняя, крайне сложно. Чтобы проводить эффективные расследования утечек, нужны валидные логи событий, а сейчас процесс сбора и хранения таких логов недостаточно четко прописан в регулирующих документах. Исключением является финансовая сфера, где регулятором является Центробанк".
Как подчеркнул Игорь Ашманов, утечки данных стали для России вопросом национальной безопасности, поскольку их активно используют злоумышленники в ходе атак, они являются стартовым капиталом для мошенников. При этом он напомнил, что объемы утекших данных продолжают быстро расти: по итогам I квартала 2024 г. утекло 510 млн записей персональных данных российских граждан, что больше, чем за весь 2023 г. (490 млн).
Член Общественной палаты Российской Федерации, глава Лиги безопасного интернета Екатерина Мизулина заявила, что в России персональные данные любого гражданина получить легче, чем где бы то ни было в остальном мире. Она обратила внимание, что такая легкая доступность данных о людях приводит к тому, что их используют не только мошенники в ходе массовых атак, но и в кампаниях интернет-травли (кибербуллинга). Лига безопасного интернета выявила несколько десятков таких инцидентов по итогам 2023 г.