Борьба с утечками в приоритете
Нынешние наказания Александр Хинштейн (на фото) в ходе пресс-конференции по итогам осенней сессии Госдумы назвал смехотворными. Они не мотивируют бизнес, чтобы инвестировать в построение полноценной системы защиты персональных данных. Будет проще заплатить относительно небольшой штраф, размер которого, по оценке главы профильного парламентского комитета, не превышал 90 тыс. руб., даже если речь шла о масштабных инцидентах, где число пострадавших измерялось сотнями тысяч и даже миллионами.
Александр Хинштейн, сославшись на данные Роскомнадзора, оценил количество скомпрометированных в 2022 г. записей в 600 млн, а общее количество инцидентов составило 140. При этом все эти инциденты имели место в общественном секторе. В государственных учреждениях, где действуют и соблюдаются высокие требования по защищенности, подтвержденных утечек выявлено не было.
Александр Хинштейн обещал максимально быстро принять поправки в Уголовный кодекс и Кодекс об административных правонарушениях, которые существенно усиливают ответственность для виновников инцидентов, связанных с утечками персональных данных. Вводятся оборотные штрафы, а в ряде случаев и уголовная ответственность. Также вводится административная ответственность для нарушителей новых норм законодательства - в частности, за нарушение порядка уведомления регулятора об инцидентах. Также Александр Хинштейн анонсировал быстрое принятие санкций, предусматривающих в том числе и уголовную ответственность для нарушителей принятого 20 декабря закона о биометрических данных. Плюс ко всему, будет как минимум частично снят мораторий на проверки Роскомнадзора по факту утечек данных.
Однако практики в области ИБ оценивают усиление ответственности за утечки данных неоднозначно. Сама проблема не отрицается. Как напомнил бизнес-консультант Positive Technologies Алексей Лукацкий в ходе обсуждения итогов 2022 г. на онлайн-платформе "Секлаб Онлайн", утечки данных, наряду с DDoS и дефейсами сайтов, стали одними из самых распространенных и резонансных инцидентов в ходе волны атак, совершенных большими массами хактивистов.
Директор по информационной безопасности социальной сети "Одноклассники" Денис Горчаков считает ужесточение ответственности в целом целесообразным, но только в том случае, если речь идет о нарушении установленных требований по защите персональных данных. По его мнению, все прочие меры вряд ли будут эффективными.
Директор департамента информационной безопасности Банка Тинькофф Дмитрий Гадарь обратил внимание, что как минимум половину всех утечек составляют фейковые. Сейчас сам факт таких недоутечек активно используют в политических целях, но есть риск, что их начнут использовать и для борьбы с конкурентами, сфабриковав такой массив данных, разместив его на соответствующих ресурсах и сообщив об этом СМИ и регуляторам. И в целом нормы об оборотных штрафах недостаточно хорошо проработаны.