СМБ испугался роста штрафов за утечки данных

Директор департамента цифровых технологий Торгово-промышленной палаты РФ Владимир Маслов, выступая на конференции "Защита данных. Сохранить все", назвал ожидаемое повышение штрафов за утечки персональных данных больной темой для бизнеса. По его словам, в бизнес-сообществе очень сильны опасения, что многократное увеличение наказаний приведет к банкротствам компаний, особенно из числа малых и средних. Положение усугубляет и то, что инвестиции во внедрение систем информационной безопасности, как подчеркнул Владимир Маслов, хоть и снижают вероятность инцидента, но не исключают его полностью. Также он выразил опасения, что тема утечек будет активно использоваться как инструмент недобросовестной конкуренции.

Директор департамента специальных проектов ООО "Хэдхантер" (hh. ru) Виталий Терентьев назвал главным мотивом для наведения порядка с персональными данными не штрафы регулятора, а "головомойку в соцсетях" и следующие за этим отток клиентов и потери для бизнеса. Примерно те же результаты показало исследование, проведенное ГК "Гарда", согласно которому две трети респондентов в случае утечки откажутся от услуг компании, которая допустила инцидент.

https://www.comnews.ru/content/229653/2023-10-24/2023-w43/1008/kak-pere…

Более серьезными проблемами, по оценке Виталия Терентьева, являются сложности с атрибуцией утечек, с одной стороны, и некомпетентность судейского корпуса - с другой: "В таких условиях крайне сложно будет доказать, что виновником утечки стала не твоя компания, а кто-то другой".

Советник генерального директора ООО "Северсталь-групп" по информационной безопасности Александр Кириллов обратил внимание, что бизнес, причем любых размеров, не будет защищать актив, если стоимость его защиты будет выше, чем стоимость самого актива. В случае информации, по его оценке, положение осложняется тем, что методик расчета стоимости данных у бизнеса, за исключением финансового сектора и госструктур, просто нет. Кроме того, Александр Кириллов назвал главным приоритетом крупного бизнеса ускоренное импортозамещение средств периметровой защиты и промышленных систем, и в этих условиях на реализацию мер по обеспечению сохранности данных, в том числе персональных, просто не остается ресурсов. Кроме того, миграция на новые системы усиливает риски. Также он обратил внимание на низкую культуру работы с данными, следствием чего часто являются инциденты. В качестве примера Александр Кириллов назвал то, что до 40% пользователей идут на поводу у авторов фишинговых рассылок.

Директор департамента обеспечения кибербезопасности Минцифры России Владимир Бенгин на это возразил, что увеличение штрафов не ставит целью закрыть как можно больше компаний или за их счет пополнять бюджет. Данная мера, как он отметил, направлена на снижение числа инцидентов ИБ, в том числе утечек данных. Владимир Бенгин также посоветовал не хранить избыточные массивы данных, сославшись на личный опыт участия в расследовании инцидентов. По его словам, самой распространенной реакцией обычно бывает риторический вопрос: "А зачем мы все это хранили?". Также Владимир Бенгин порекомендовал внимательно изучить документы ФСТЭК, которые представляют собой набор лучших практик.

Начальник управления ФСТЭК России Дмитрий Шевцов посоветовал внимательно изучать документы регуляторов: "Как показывает опыт, проблемы возникают из-за того, что люди просто не читают документы, будь то методические материалы регуляторов или корпоративные политики безопасности". По его мнению, залогом отсутствия инцидентов будет построение системы контроля, без которой невозможно выявить виновника инцидента, и обучение, причем "всех поголовно".