За утечки данных отсидят зиц-председатели
Мельникова выпускающий редактор ComNews.ru
Несмотря на принятие законопроектов о штрафах за утечки персональных данных и об уголовной ответственности за их кражу, данные будут утекать и дальше. Государство продолжает удобрять для этого почву - создает все больше информационных систем (ГИС) и сервисов на "Госуслугах", прорубая все более широкое окно для поступления данных наружу. Чем больше собрано данных в одном месте - тем более лакомый это кусок для мошенников, а заплатит в итоге за все бизнес. Или сразу, внедрив защитные системы и создав многолюдные ИБ-департаменты, или позже - за утечки персональных данных.
Из 36 законопроектов, над которыми вел работу в осеннюю сессию 2023 года комитет Госдумы РФ по информационной политике ИТ и связи, наиболее знаковым его председатель Александр Хинштейн назвал введение ответственности за утечки персональных данных. В декабре 2023-го группа сенаторов и думских депутатов внесла на рассмотрение в нижнюю палату парламента два законопроекта, касающихся ответственности за утечки и кражу персональных данных. Спустя почти год, 26 ноября 2024-го, Госдума приняла их сразу во втором и третьем чтениях, а Совет Федерации - одобрил. Это поправки в КоАП, закрепляющие оборотные штрафы за утечки данных, и поправки в УК, предусматривающие уголовную ответственность за кражу данных.
Сами депутаты пока не знают, каким будет эффект законопроекта - станет утечек меньше или же "они будут замалчиваться, что и происходит в настоящее время", как говорил год назад Александр Хинштейн.
Согласно законопроекту, юрлицо, допустившее утечку, ждет штраф от 5 млн до 15 млн рублей. Если ситуация повторится, компания заплатит от 1% до 3% от ее прошлогоднего оборота. За утрату биометрических данных наказание строже: при повторном нарушении оборотный штраф составит от 25 млн до 0,5 млрд рублей.
Согласно Уголовному кодексу РФ, незаконное хранение/сбор/передача персональных данных будет караться сроком от пяти до 10 лет лишения свободы и штрафом в 700 тысяч рублей. Также под уголовное преследование попадут и те, кто создает или поддерживает существование ресурса с "криминальными" персданными.
Штраф может быть снижен, если нет отягчающих обстоятельств, а инвестиции компании в информационную безопасность на протяжении трех лет составляли не менее 0,1% от выручки, и она соблюдала требования к защите данных.
Мошенничество в России достигло небывалого размаха, будь то телефонное или банковское, и виной тому - широкое криминальное распространение персональных и прочих чувствительных данных. По данным Positive Technologies, по итогам первого полугодия 2024 года Россия возглавила рейтинг стран по количеству объявлений о продаже баз данных компаний на теневых форумах.
В РФ уже едва ли найдешь человека, не подвергавшегося мошенничеству или хотя бы такой попытке - в точности как в Нидерландах трудно найти человека, у которого хотя бы один раз в жизни не украли велосипед. Совместная борьба банков, операторов связи, государственных органов в части законодательных инициатив и Роскомнадзора как проверяющего органа, безусловно, важна. И новые законопроекты - шаг на этом пути.
Однако пока инициатива вызывает ряд вопросов не только у депутата. Что входит в 0,1% - зарплата сотрудников ИТ-отдела или ИБ-решения, которые можно купить, но не ввести в эксплуатацию? Как понять, действительно ли компания соблюдала требования к защите данных и кто их сформулирует? Одинаковые ли требования по защите данных к государственным и частным компаниям, к крупным холдинговым структурам и к представителям малого/среднего бизнеса и будут ли они меняться?
Будет ли законопроект применяться так, как он задуман? Как достоверно доказать вину, подпадающую под статью с уголовной ответственностью? Как отличить внешнюю кибератаку от умышленных действий сотрудника, которого коррумпировали или иным образом заинтересовали злоумышленники? Как понять, что ИБ-меры, предпринятые руководством компании, - необходимы и достаточны?
В зависимости от объема утекшей информации законопроект предлагает градацию ответственности: информация, включающая персональные данные от 1000 до 10 тысяч субъектов персданных, от 10 тысяч до 100 тысяч уникальных сведений о физических лицах, необходимых для определения таких лиц (идентификаторы) и т.д. Получается, что данные менее чем 1000 россиян можно украсть безнаказанно? А как часто? Если каждый день будет утекать по 999 единиц данных, это все равно не превысит установленную законом "норму"?
И самый острый вопрос. Далеко не всегда в утечке данных из компании Х виновата она - гораздо чаще эти сведения уплывают из государственных органов или из ГИС. При этом найти реальный канал утечки очень сложно, а подчас и невозможно. Будет ли государство в безапелляционном порядке привлекать к ответственности, в случае утечки данных, эту компанию? А если ей или МВД все же удастся найти реального виновника слива в государственных структурах, будут ли привлечена к ответственности эта структура или ее конкретный служащий? А если некое министерство или ведомство создало очередную ГИС и данные были похищены оттуда - кто ответит за дырявую информационную систему?
Законопроект закрепляет обязанность по уведомлению Роскомнадзора как уполномоченного органа по защите прав субъектов персональных данных в случае утечек персональных данных. А если утекут данные из Роскомнадзора, как держателя множества реестров и структуры, имеющей доступ к абонентским базам, то кому жаловаться?
Александр Хинштейн рассказывал год назад, что "пока, к сожалению, проверка Роскомнадзором утечки персональных данных происходит по очень сложной схеме. Должно быть или решение правительства РФ или поручение прокуратуры. И даже понимая и зная, что утечка есть, Роскомнадзор не может просто прийти и проверить. Получается абсурдная ситуация. С одной стороны, мы говорим, что нужно навести порядок, вводим штрафы, ужесточаем ответственность. С другой стороны, даже по установленным и выявленным фактам утечек регулятор не может прийти и объективно во всем разобраться. Если виновный в утечке не хочет пускать регулятора, он вправе его не пустить. В нашем законопроекте предусматривается, что само наличие информации об утечке будет являться основанием для внеплановых проверок".
Тем временем количество точек аккумулирования государством персональных данных в одном месте растет с каждым днем, что повышает удобство их кражи. В январе 2023 года вице-премьер Дмитрий Чернышенко сообщил, что в России действует около 4000 ГИС (в том числе 747 федерального и 3618 регионального уровней), а ведь у муниципалитетов тоже есть ГИС. Это количество суперизбыточно: в августе 2018 года Алексей Кудрин, в должности главы Счетной палаты, возмущался, что в России 340 федеральных ГИС, данные в которых не стыкуются по форматам и актуальности.
15 сентября 2024 года вступил в силу порядок функционирования "матери" всех государственных информационных систем - ГИС "Цифровая аналитическая платформа предоставления статистических данных". Государство решило собрать информацию из всех ГИС в одной общей информационной системе. В итоге добавилось еще одно место для повышенного внимания мошенников. А заплатит за все в конечном итоге бизнес, чьи данные утекут.
Ну а пока у бизнеса есть полгода, чтобы наладить ИБ-защиту, а у мошенников - чтобы распродать накопившиеся данные. Закон, вводящий штрафы для бизнеса за утечку данных, вступает в силу спустя 180 дней после его официального опубликования. Скоро наступит "черная пятница" "даркнета", и в ближайшие 180 дней будет семь черных пятниц на неделе. А по истечении срока данные подорожают: если садиться, то задорого.
Вероятно, малый бизнес с целью выживания начнет искать лазейки, чтобы не собирать и не хранить персональные данные: например, химчистки будут присваивать клиентам порядковые номера, а чтобы первый раз пойти в спортзал, наконец-то не надо будет вписывать все паспортные данные. Стоимость защиты информации может оказаться слишком велика, а риски сесть в тюрьму отпугнут российский малый бизнес. Может быть, небольшие компании если и не разорятся на ИБ-расходах, то будут работать, пока руководство не сядет за утечку персданных.
Сначала все боялись сдавать персональные данные, теперь за их кражу или слив будут бояться сесть. Может, это и хорошо, по крайней мере если не для бизнеса, то для пользователя. Главное - не начать охоту на ведьм.
Есть вероятность, как ранее в госструктурах директивно появилась должность руководителя по цифровой трансформации (РЦТ), так скоро в каждом ведомстве и крупной компании появится зиц-председатель, который в случае утечек персональных данных в компании пойдет в отсидку сроком до 10 лет. В бессмертном романе Ильи Ильфа и Евгения Петрова "Золотой Теленок" был такой персонаж - зиц-председатель Фунт. Он говаривал: "Я беру недорого: сто двадцать рублей в месяц на свободе и двести сорок - в тюрьме. Сто процентов прибавки на вредность".
