«Деловая Россия» предлагает разделять ответственность допустившей утечку компании с поставщиком продуктов по защите данных

Общественная организация «Деловая Россия» выступает с предложением о разделении ответственности компании, которая допустила утечку конфиденциальной информации, с поставщиком соответствующего продукта по защите данных. Об этом накануне сообщило издание «Коммерсант».

Как рассказали журналисты, общественная организация «Деловая Россия» уже направила в Государственную думу РФ собственные предложения по новому законодательству об оборотных штрафах за утечки данных. В рамках этих предложений предлагается смягчить ответственность операторов персональных данных из-за допущенной утечки конфиденциальной информации. В частности, общественники предлагают снизить размер максимальный размер штрафа за подобные нарушения с 500 млн руб. до 50 млн руб.

Помимо этого, в разработанном «Деловой Россией» проекте также предусматриваются смягчающие обстоятельства для операторов ПДн, которые, к примеру, подтвердят вложения в информационную безопасность от 0,1% годовой выручки в течение 3-х и более лет до случившегося киберинцидента, приведшего к утечке данных.

При этом вторым предложением общественной организации, которое уже вызывало огромное количество споров, является требование разделять ответственность допустившей утечку конфиденциальной информации компании с её поставщиком продуктов по защите данных.

Представитель «Деловой России» во время общения с журналистами заявил, что его организация действительно заинтересована в том, чтобы была введена солидарная ответственность оператора персональных данных и его поставщика услуг и продуктов в сфере информационной безопасности. Например, если нарушений в процессе применения систем защиты со стороны компании, которая допустила утечку данных, не было, то вендор обязан будет также понести наказание. Представители организации подчеркнули, что это позволит стимулировать участников рынка оказывать более качественные услуги в сфере информационной безопасности.

Алена Игнатьева, руководитель консалтинга и аудита информационной безопасности STEP LOGIC: «На мой взгляд, важен не столько размер штрафа, сколько прозрачность контроля и неотвратимость наказания. Важно не убить одним штрафом малые и средние предприятия, которые в большинстве своем не обрабатывают больших объемов данных, а дать крупным компаниям четкий посыл, что нарушение неотвратимо приведет к серьезным последствиям для бизнеса. Поэтому бизнес-процессы надо изначально выстраивать и модернизировать с учетом рисков ИБ.

Вопрос с разделением ответственности на уровне законодательства между оператором персональных данных и его поставщиками услуг как раз приведет к размытию ответственности и попыткам ухода от наказания. Текущий подход, в котором ответственность за утечку лежит на операторе, мне кажется более правильным. К тому же есть действующие механизмы по взысканию ущерба в рамках регресса. Сейчас оператор не только несет ответственность, но и определяет цели обработки и условия защиты обрабатываемых персональных данных. И в его интересах описать соответствующие требования в договорах с поставщиками услуг, обеспечить контроль их соблюдения».

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT: «На наш взгляд, инициатива требует детального рассмотрения и проработки, т.к. в текущей формулировке возникает ряд вопросов. Основной из них — как именно будет определяться ответственность? Вендор создает средство защиты информации, ФСТЭК России его сертифицирует для использования, дальше либо сам клиент, либо интегратор его настраивает. Но эксплуатация, тонкая настройка и все противодействие киберугрозам, все-таки, остается непосредственно за заказчиком.

Например, в случае ДТП, на ком лежит вина? На водителе авто, который его устроил, или на производителе? Если авария произошла именно вследствие дефекта, а не нарушения эксплуатации, это потребуется доказать. Здесь ситуация аналогична. Поэтому такие инициативы требуют тщательной проработки и доводки, ведь процесс определения ответственности должен учитывать множество факторов. Помимо этого, для защиты от проблем, вызванных некачественными продуктами, в том числе СЗИ, существует закон о защите прав потребителей».

Игорь Баранов, преподаватель АИС, адвокат, ведущий эксперт по проверкам правоохранительными органами субъектов предпринимательской деятельности: «Предложенные «Деловой Россией» поправки не являются детально проработанными решениями, а носят декларативный характер в целях уменьшения ответственности операторов данных за информационные инциденты. Предложения организации ещё раз подчёркивают нежелание бизнеса осуществлять реальные и серьезные инвестиции в обеспечение надлежащего уровня информационной безопасности.

В век цифровизации и электронного взаимодействия добиться таких результатов без серьезной организационной работы и инвестиций невозможно, поэтому будем надеяться, что бизнес начнет предлагать меры по защите данных, а не только варианты уменьшения своей ответственности».