Эксперт Скакунов: отмена закона CISA снизит мотивацию делиться данными об инцидентах, но опыт США полезен и для России
изображение: recraft
На фоне истечения срока действия закона CISA 2015 в США, который на протяжении 10 лет регулировал добровольный обмен данными о цифровых угрозах между бизнесом и государством, генеральный директор VolgaBlob Александр Скакунов в комментарии для CISOCLUB объяснил, какие последствия это может повлечь и почему этот опыт стоит учитывать в России.
Он уточнил, что документ обеспечивал компаниям защиту от санкций за разглашение информации об инцидентах, но не освобождал от ответственности за последствия атак.
«Закон о кибербезопасности и обмене информацией (CISA) 2015 года обеспечивал защиту участников информационного обмена от санкций, связанных с разглашением информации об инцидентах. Вместе с тем он не освобождал от финансовой ответственности за причиненный ущерб: утечку информации, компрометацию пользовательских данных», — пояснил Александр Скакунов.
По его мнению, с прекращением действия CISA мотивация компаний к участию в системе обмена сведениями снизится, хотя до сих пор она и так носила добровольный характер и не предоставляла полной юридической защиты.
«После того как действие этого закона прекратится, мотивация участников информационного обмена на предоставление данных о киберинцидентах конечно упадет. С другой стороны, передача данных и раньше носила добровольный характер и не освобождала их от финансовой ответственности — поэтому пока рано говорить о том, что с окончанием 2025 года их участие в Automated Indicator Sharing (AIS) сразу же сойдет на нет», — отметил он.
Александр Скакунов провёл параллель с российскими реалиями, напомнив, что в РФ отсутствуют нормы, защищающие компании при добровольной передаче информации о киберинцидентах. Более того, за халатность может наступить уголовная или административная ответственность.
«Что касается российского рынка, здесь есть смысл обратить внимание на подобный зарубежный опыт. У нас нет норм, которые освобождали бы прямо или косвенно от гражданской или административной ответственности за факт инцидента. Более того, по 187-ФЗ субъект может быть привлечен к административной или даже уголовной ответственности за халатность в обеспечении безопасности», — заявил он.
Он подчеркнул, что из-за этого организации делятся только обязательной информацией. Для того чтобы бизнес охотнее раскрывал технические данные о кибератаках, нужно создать защитные механизмы, подобные тем, что действовали в США.
«Как результат, компании делятся с регуляторами только обязательной информацией о киберинцидентах. Если обеспечить меры защиты, как в международных практиках — возможно, мотивация бизнеса повысится», — заключил Александр Скакунов.
