Компаниям, расследующим утечки данных, разрешат действовать без риска уголовного преследования

Минцифры ведёт переговоры с представителями ИТ-индустрии и профильными структурами о возможных изменениях в законодательстве, которые позволят бизнесу, изучающему причины утечек персональной информации, не опасаться уголовных последствий. Обсуждаются поправки к статье 272.1 Уголовного кодекса и положениям закона «О персональных данных».

Если инициативу поддержат, крупные компании сферы информационной безопасности, а также организации, занимающиеся выявлением источников компрометации клиентской информации, больше не будут подпадать под действие нормы УК, предусматривающей наказание за хранение сведений, полученных с нарушением закона.

Сейчас работа в этом направлении остаётся полем неопределённости. Многие представители ИТ и ИБ-бизнеса действуют на свой страх и риск. Участники рынка признают, что предложение о корректировке законодательства вселяет осторожный оптимизм. Особенно позитивно на возможность перемен смотрят крупные игроки, хотя они и выражают опасения, что потенциальные послабления могут охватить лишь ограниченное число компаний.

Как отмечают специалисты Ассоциации больших данных, в серую правовую зону сегодня попадают самые разные виды деятельности. Среди них — проверка принадлежности организации к тем или иным ИБ-инцидентам, меры по защите клиентов, чьи сведения утекли, а также исполнение обязанностей перед Роскомнадзором при подтверждении факта утечки. Также к этому списку относят проверку информационных систем на уязвимости.

В Ассоциации пояснили, что на обсуждении сейчас находится модель, согласно которой расследования подобного рода смогут вести лишь те компании, чья система информационной безопасности отвечает установленным стандартам. В Ассоциации подчёркивают, что у регуляторов должно быть чёткое понимание, кто именно может заниматься такими расследованиями, чтобы избежать злоупотреблений.

Киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева, заявила CISOCLUB: «Поправки к регулированию оборота персональных данных в рамках проекта Уголовного кодекса (Статья 272.1 УК РФ) позволят компаниям легально анализировать дампы утечек без риска уголовного преследования за обработку таких данных. Расследования компрометации информации клиентов и сотрудников — нормальная практика для минимизации рисков организации, снижения вероятности повторных атак и связанных с ними финансовых и репутационных потерь.

Такой подход коррелирует с требованиями закона № 152-ФЗ «О персональных данных», обязывающего операторов обеспечивать безопасность информации, и предполагая освобождение от преследование по закону при проведении внутреннего расследования инцидента. Это обеспечивает потенциал для развития доверенной цифровой среды, аналогично статьям КоАП РФ, где действия в интересах защиты прав субъектов данных не считаются правонарушением, если соответствуют профильным стандартам. В актуальном контексте соответствие профильным документам — это Приказам ФСТЭК и ФСБ».

Даниил Бориславский, директор по продукту Staffcop (СКБ Контур): «Эта инициатива – однозначно шаг в правильном направлении. Главное – юридически закрепить статус этих организаций, чтобы они могли работать, проводить аудиты, пентесты, расследования, не опасаясь, что их в любой момент переквалифицируют из экспертов в подозреваемые.

Но нет гарантий, что под видом добросовестной деятельности, не начнут действовать хакерские группировки. Ведь они могут использовать лазейки в законодательстве, прикрываясь тем, что просто помогали. А может возникнуть ситуация, что хакерская организация, осуществив взлом, предложит заключить договор на отбеливание ситуации, шантажируя компанию».

Александр Зубриков, CEO ITGLOBAL.COM Security: «Эта инициатива очень напоминает аналогичную в отношении пентестеров. Безусловно, это шаг в правильном направлении. Однако на практике компании, занимающиеся расследованием утечек, зачастую сотрудничают с правоохранительными органами. Я не припомню случаев, когда исполнители привлекались бы к ответственности за эту работу.

На мой взгляд, речь скорее идёт об устранении правовых неточностей. Вряд ли принятие этих поправок приведёт к принципиальным изменениям на рынке. С другой стороны, это может снизить гипотетические барьеры для тех, кто хотел бы начать бизнес по расследованию киберинцидентов. В результате предложение расширится, а конкуренция возрастёт».