Споры о размерах штрафов за утечки персональных данных все жарче

На государственном уровне продолжают активно обсуждаться поправки к законопроекту об ужесточении ответственности за утечки персональных данных. Мнения относительно того, помогут ли большие штрафы справиться с утечками, разнятся. Но штрафы - не единственный способ бороться с утечками. И возможно, не самый эффективный.

На прошлой неделе глава Минцифры Максут Шадаев заявил, что необходимо значительно увеличить штрафы за утечку персональных данных (ПДн). "Штрафы должны быть значительно больше, вплоть до оборотного", - сказал он журналистам. Это, по его мнению, будет мотивировать бизнес активнее инвестировать в киберзащиту.

Также на прошлой неделе Минэкономразвития подготовило предложения к поправкам ко второму чтению законопроекта об ужесточении ответственности за утечки персональных данных. Ведомство считает, что следует значительно снизить размер штрафов и ввести смягчающие обстоятельства. В зависимости от количества затронутых субъектов ПДн, министерство предлагает установить штраф для юрлиц в размере от 1,5 млн до 5 млн рублей. За повторные утечки Минэкономразвития предлагает оставить в прежнем объеме, однако максимальный размер штрафа предлагается сократить до 50 млн рублей, а минимальный - до 5 млн рублей.

На данный момент за первое нарушение, повлекшее утечку ПДн, можно получить штраф до 15 млн рублей. При повторном нарушении предполагается оборотный штраф в размере от 0,1% до 3% от выручки за предшествующий календарный год. При этом размер штрафа не может быть меньше 15 млн рублей и больше 500 млн рублей.

Для социально ориентированных некоммерческих организаций, малого и среднего бизнеса Минэкономразвития предлагает накладывать штрафы в размерах ниже юридических - предусмотренных для должностных лиц. Представители ведомства считают, что на данный момент из-за размера штрафов есть риск приостановления и прекращения деятельности малого и среднего предпринимательства (МСП).

Ведомство не первое, кто об этом говорит. В марте 2024 года общероссийская общественная организация малого и среднего предпринимательства "Опора России" направила письмо автору инициативы о введении оборотных штрафов - главе комитета по информационной политике Александру Хинштейну. Ассоциация считает, что штрафы несут риски для МСП, вплоть до полного банкротства, поэтому предлагает снизить штрафы для них или исключить вообще.

Также Минэкономразвития предлагает внести смягчающие обстоятельства, если расходы оператора ПДн на инфобезопасность за предшествующий утечке год составили минимум 0,1% от выручки компании или капитала банка. И это имеет смысл, потому что данные утекают у крупных и очень защищенных компаний. Можно вложить огромные деньги в кибербезопасность, но гарантий, что взлома не будет, нет - взломать можно что угодно, это лишь вопрос времени. Например, даже у МТС Банка в 2023 году была утечка данных 1 млн держателей карт.

Эксперты по кибербезопасности понимают, что не существует 100%-ного способа защитить систему. Поэтому, к примеру, компания Positive Technologies даже прописывает для каждой организации недопустимые события - инциденты, которые точно не должны происходить (Positive Technologies дает такое определение недопустимому событию - это событие в результате кибератаки, делающее невозможным достижение операционных и (или) стратегических целей организации или приводящее к значительному нарушению ее основной деятельности). Такие формулировки говорят о том, что как минимум существуют события допустимые.

Утечки происходят даже в госсекторе. К примеру, сервис DLBI сообщал в июне 2024 года, что специалисты обнаружили утечку 13,4 млн строк с различными персональными данными, связанными с Департаментом информационных технологий (ДИТ) Москвы.

Данные утекают не только из-за "дыр" в системах - ПДн может слить обиженный или желающий подзаработать сотрудник. Утекают данные и из государственных информационных систем (ГИС): "Серчинформ" в 2023 году сообщал, что это связано в том числе с желанием сотрудников получить материальную выгоду. И конечно, всегда актуальной остается проблема социальной инженерии.

Также под вопросом, кто виноват в утечке. Пока автоматически под обвинения попадают компании. Но по факту это не всегда так. И можно долго искать, но так и не найти причину утечки. "В Евросоюзе были случаи, когда после расследования инцидента решали, что компания не виновата в утечке, - рассказал в 2023 году на "Цифротехе" Алексей Мунтян из Privacy Advocates. - В основном это кейсы, когда злоумышленники эксплуатировали уязвимость программного обеспечения. То есть оператор ничего не мог предпринять. При этом было подтверждено, что оператор ПДн выполнил все необходимые требования". Тут же возникает вопрос: насколько правильно заставлять компании платить штрафы за утечки, которые произошли не по их вине?

Проблема с утечками данных действительно актуальна. По данным InfoWatch, в первом полугодии в России утекло 986 млн персональных данных. Больше половины пришлось на утечку, о которой стало известно в начале года: тогда Роскомнадзор сообщал, что в Сеть слили 500 млн строк данных. При этом методы хакеров становятся все изощреннее. Например, в этом году ГК "Солар" рассказала об инциденте, в ходе которого хакерская группировка атаковала российские ИТ-компании через системы для лифтов.

Нельзя сказать, что штрафы совсем не повлияют на количество утечек - конечно, они насторожат компании и те будут активнее заниматься кибербезопасностью. Но нужно понимать, что корреляция "больше штраф - сильнее кибербезопасность" не совсем рабочая. А вот вреда от увеличения штрафов для бизнеса будет больше. Поэтому было бы эффективнее работать в другом направлении: вводить льготы для компаний для обеспечения кибербезопасности, ограничивать излишний сбор ПДн, повышать грамотность сотрудников и более тщательно проверять их при приеме на работу.