Оборот не туда: бизнес и ИБ-компании высказали претензии к законопроекту об оборотных штрафах за утечки
Участники III Международного форума кибербезопасности государства "Цифротех" обсудили проект федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" в части повышения защищенности персональных данных (ПДн) россиян. Согласно ему, за повторную утечку ПДн компания будет платить штраф от 0,1% до 3% от выручки за предшествующий календарный год. При этом размер штрафа не может быть меньше 15 млн руб. и больше 500 млн руб.
Претензии к законопроекту
Большинство участников форума считают правильным ввести штрафы за утечку персональных данных. Однако они уверены, что законопроект нужно дорабатывать.
Самый обсуждаемый вопрос встречи - установление вины за утечки. Участники недовольны, что практикуется объективное вменение: Роскомнадзору достаточно констатировать факт утечки, чтобы установить вину компании и наложить штраф. При этом утечка может произойти не по вине бизнеса. "Даже с точки зрения текущего законодательства - ст.2.1 КоАП - такой подход не является правомерным", - объяснил Алексей Мунтян, СЕО компании Privacy Advocates. Он добавил, что между выявлением инцидента и наложением штрафных санкций во многих юрисдикциях проходят месяцы и даже годы. Алексей Мунтян уверен, что, несмотря на долгий срок, это хорошая практика: качество выносимых решений прямо пропорционально затраченным усилиям.
Участники дискуссии отметили, что никакая система защиты не дает полной гарантии, что утечек не случится. Алексей Мунтян из Privacy Advocates привел статистику крупнейших в мире штрафов за утечки ПДн за 2022 г. Среди них Didi Global (штраф $1,190 млн), Amazon ($877 млн), Equifax ($575 млн), Instagram* ($403 млн), TikTok ($370 млн). То есть даже в крупных компаниях, где серьезно подходят к вопросам информационной безопасности, утечки неизбежны. "Компания может сделать максимум возможного, инвестировать много средств и ресурсов, чтобы сохранить данные, но 100% гарантии это не даст. Возможно, если у каждого человека будет криптотокен, то проблем с ПДн не возникнет", - предположил Михаил Адоньев, директор по взаимодействию с органами государственной власти "Ростелеком-Солар". При этом Михаил Быковский, руководитель управления по взаимодействию с органами государственной власти АО "Тинькофф Банк", заметил, что, согласно законопроекту, теоретически могут наказать и за утечку криптотокенов, так как непонятно, что в законопроекте имеется в виду под формулировкой "идентификатор".
"В Евросоюзе были случаи, когда после расследования инцидента решали, что компания не виновата в утечке, - рассказал Алексей Мунтян из Privacy Advocates. - В основном это кейсы, когда злоумышленники эксплуатировали уязвимость программного обеспечения. То есть оператор ничего не мог предпринять. При этом было подтверждено, что оператор ПДн выполнил все необходимые требования".
Исходя из того, что избежать утечек все равно невозможно, участники обсуждения предположили, что некоторые компании будут вкладывать средства не в инфобезопасность, а в формирование бюджета для компенсаций и оплаты штрафов.
Если крупный бизнес сможет таким образом "откупиться", то малому и среднему бизнесу будет сложнее. "Не надо забывать про МСП (малые и средние предприятия - прим. ComNews), потому что такие штрафы могут оказаться губительными для них", - сказал Владимир Маслов, директор департамента цифровых технологий Торгово-промышленной палаты РФ. С другой стороны, Владислав Федулов, исполнительный директор "Авито", заметил, что в сфере внимания Роскомнадзора окажутся скорее крупные компании, потому что понять, что у МСП произошла утечка, для надзорного органа сложнее.
Предложения к законопроекту
Бизнес-сообщество и Торгово-промышленная палата в конце сентября направили вице-спикеру Госдумы Вячеславу Володину письмо (есть в распоряжении ComNews), где обозначили позиции, которые необходимо доработать в законопроекте. Авторы письма предложили разработать рекомендации по обеспечению ИБ, на основе которых надзорный орган будет оценивать предпринятые компанией меры для защиты данных. Если меры будут достаточными, то авторы предлагают не штрафовать компанию. Также в письме просят учитывать как смягчающее обстоятельство добросовестное устранение последствий утечек (например, выплаты оператором компенсации пострадавшим). В документе указано, что нужно больше времени для подготовки перед вступлением законопроекта в силу. Также авторы отмечают, что одна утечка может дробиться и использоваться злоумышленниками несколько раз - а при повторном нарушении штрафы выше. Всего в письме 18 пунктов с рекомендациями.
Алексей Мунтян из Privacy Advocates в качестве мер реагирования предложил два варианта. Во-первых, отказаться от объективного вменения - не привлекать операторов ПДн к ответственности без установления вины в утечке. Во-вторых, создать ИТ-платформу для коллективных исков пострадавших от утечек. "Тогда была бы более явная мотивация защищать персональные данные. Зарубежный опыт показывает, что размер и влияние на бизнес коллективных исков может быть гораздо существеннее, чем любые штрафные санкции", - поделился мнением Алексей Мунтян.
Ирина Пантина, директор департамента по взаимодействию с госсектором Positive Technologies, считает, что должны быть финансовые источники покрытия расходов на выплаты штрафов - ими может стать страхование ответственности перед третьими лицами.
Она также уверена, что отрасль должна сформировать перечень смягчающих и отягчающих обстоятельств, влияющих на размеры штрафов.
"В Евросоюзе есть методики по расчету административных штрафов, в том числе и за утечки. Ни надзорный орган, ни суд не могут исходя из внутреннего убеждения решить, какой объем компенсации положен в том или ином кейсе, - рассказал Алексей Мунтян. - Часто размеры штрафов снижают в разы или в десятки раз, потому что суд внимательно изучает методики наложения штрафных санкций и находит недочеты со стороны надзорных органов".
В качестве профилактики утечек Алексей Мунтян предложил создать портал для повышения осведомленности бизнеса о проблеме, предоставить скидки и льготы для малого и среднего бизнеса на приобретение сертифицированных средств защиты информации.
Александр Хонин, руководитель отдела консалтинга и аудита Angara Security, заметил, что в России вообще не развита культура обращения с ПДн - многие компании до сих пор даже не занимаются защитой данных. "Мы выявляем практически на всех аудитах, что компании собирают большие объемы ПДн, которые не нужны. На вопрос, зачем им это, отвечают: "На всякий случай", - рассказал Александр Хонин. Он считает, что штрафовать надо, но не за утечки, а за отсутствие превентивных мер - когда бизнес заранее не предпринял никаких мир для защиты.
*Instagram принадлежит Meta, которая признана в России экстремистской организацией и запрещена.
Отметим, что 4 апреля 2024 г. в Москве состоится "ТЕРРИТОРИЯ БЕЗОПАСНОСТИ - 2024: все pro ИБ" - ежегодное новаторское мероприятие, состоящее из четырех конференций и выставки отечественных технологий информационной безопасности. Подробнее: https://www.comnews-conferences.ru/ru/conference/tb2024