ИБ-компании опасаются рисков после принятия законопроекта об уголовной ответственности за работу с утечками ПДн

Крупные отечественные компании, работающие в сфере информационной безопасности, обеспокоены рисками, которые могут возникнуть в случае принятия проекта закона об уголовной ответственности за работу с утечками персональных данных. Это связано с тем, что в разработанном ко второму чтению в Госдуме документе отсутствуют исключения для участников рынка, занимающихся изучением утечек конфиденциальной информации в профессиональных целях, что формирует риски уголовного преследования для специалистов.

Скорректированный ко второму чтению в Государственной Думе проект закона о введении уголовной ответственности за оборот похищенной конфиденциальной информации напрямую касается работы профильных специалистов по информационной безопасности.

Как рассказали журналисты издания «Коммерсантъ», более 15 российских ИБ-компаний 22 ноября 2024 года направили письмо (было составлено в прошлую пятницу в Кибердоме с участием АНО ЦЭ и Ассоциации больших данных) в два профильных думских комитета, в котором указали, что разрабатываемый проект закона не предусматривает исключений для компаний, решающих легитимные задачи в сфере защиты сетевой инфраструктуры от киберпреступных атак и занимающихся расследованием утечек информации.

Журналисты напоминают, что проект закона, внесённый в Государственную Думу ещё в конце 2023 года, предполагает поправки в УК РФ, в рамках которых будет установлена ответственность за неправомерный сбор, хранение и оборот личной информации граждан. Учитывая обновлённую версию законопроекта, уголовно-наказуемым деянием является, в том числе, создание сайтов, программ и IT-систем для неправомерного хранения и передачи информации, содержащей персональные данные, полученные незаконно. За подобное деяние предполагается лишение свободы на срок до 5 лет со штрафом до 700 000 рублей.

По словам журналистов, участники рынка убеждены, что ужесточение ответственности за несанкционированный оборот украденных персональных данных поспособствует снижению количества ресурсов, осуществляющих такой оборот. Однако это не может гарантировать их полного исчезновения, так как злоумышленники не лишатся доступа к инструментам для проникновения в сетевые инфраструктуры организаций.

Авторы письма заявляют, что ко второму чтению в законопроекте необходимо закрепить условия, которые будут исключать уголовную ответственность для компаний, занимающихся расследованием утечек конфиденциальной информации.

Дмитрий Борощук, руководитель агентства BeholderIsHere Consulting, заявил: «Поиск утечек данных, как и регулярный мониторинг их в сети интернет и последующее изучение, является единственной возможностью для смягчения последствий и противодействию злоумышленникам использующих их для совершения преступлений. В связи с этим, необходимо, как минимум, провести аналогию с регулированием деятельности частных детективов, в рамках внедрения законопроекта о «белых» хакерах. Так как, иначе все их действия направленные на защиту пдн, будут де-факто криминализированы, что повлечёт за собой невозможность даже просто гипотетической защиты компаний и граждан».

Сергей Петренко, директор по работе с государственными структурами, UserGate: «ИТ-инфраструктура российских компаний последние несколько лет постоянно находится под все возрастающим напором кибератак. При этом многие средние и небольшие компании не могут содержать большой штат специалистов ИБ и приобрести весь пул необходимых средств защиты. Поэтому очень востребованным являются профессиональные сервисы ИБ (MSS – managed security services), когда профильные ИБ-компании берут на себя определенную часть работы по обеспечению киберустойчивости клиентов.

По сути, это любые экспертные услуги, выполняемые профессиональными ИБ-командами для своих клиентов: мониторинг и реагирование (SOC, MRC), аудит и консалтинг, исследование произошедших инцидентов и т.д. В этой связи законодательные поправки должны быть очень взвешенными и четко прописывать полномочия и ответственность ИБ- компаний, оказывающих легальные услуги по защите своих заказчиков от киберугроз. В противном случае, часть услуг может выйти за пределы правового поля, что создаст новые риски и никак не будет способствовать повышению уровню кибербезопасности страны в целом».