Минцифры РФ согласовало законопроект с оборотным штрафом в 1% за утечки данных и в 3%, если организация скрывала инцидент

Дата: 30.05.2022. Автор: Артем П. Категории: Новости по информационной безопасности
Минцифры РФ согласовало законопроект с оборотным штрафом в 1% за утечки данных и в 3%, если организация скрывала инцидент
Изображение: Andrea Piacquadio (pexels)

Минцифры РФ согласовало проект закона, в рамках которого предполагается ужесточить ответственность организацией за утечки личных данных россиян. В министерстве ранее предложили накладывать оборотный штраф в размере 1% от годового бюджета на компании, которые допустили массовые утечки персональных данных. 3% штрафа предусмотрено для организаций, которые старались скрыть такой инцидент безопасности, сообщает «Коммерсантъ».

В Минцифры РФ убеждены, что крупные денежные штрафы, связанные с годовым доходом компаний, позволят заставить организации предпринимать необходимые усилия в сфере улучшения своих систем информационной безопасности, защиты данных, хранения личной информации пользователей/клиентов.

На сегодняшний день, согласно действующему законодательству, операторы ПДн получают штраф в размере нескольких десятков тысяч рублей даже при серьезных утечках личной информации пользователей (например, сервис Яндекс.Еда был оштрафован за скандальную утечку данных клиентов всего на 60 тыс. рублей).

«Штрафы, которые сейчас предусмотрены для операторов ПДн, позволяют компаниям полностью игнорировать законодательство в сфере защиты такой информации. Поэтому введение оборотных шарфов, по мнению Минцифры РФ, позволит заметно снизить число инцидентов, связанные с массовыми утечками информации», – заявил представитель министерства.

По словам экспертов, операторами ПДн на территории РФ сейчас являются, по большому счету, все отечественные и иностранные компании, занимающиеся обработкой и хранением личной информации своего персонала и клиентов/заказчиков/покупателей. Специалисты отрасли уверены, что многие частные организации не располагают необходимыми средствами для защиты данных клиентов, а также зачастую делятся этой конфиденциальной информацией с третьими лицами в рамках договоров о сотрудничестве, либо продают её.

«Рассматриваемый законопроект – это важный шаг в законодательной базе по пути к более осмысленному использованию персональных данных. Ужесточение мер позволит сподвигнуть компании к усилению собственных средств информационной безопасности, что повлечет снижение потенциальных утечек. В целом в России недостаточно высокий уровень киберграмотности, компании с каждым годом сталкиваются с нарастающим числом утечек, при этом почти 80% из них приходится на инсайдеров. Будем надеяться, что новые правила изменят отношение компаний к информационной безопасности, в частности в вопросе обучения собственных сотрудников работе с конфиденциальными и персональными данными», — прокомментировал Сергей Тимошенко, коммерческий директор компании EveryTag.

«Считаю, предложенные меры станут сильной мотивацией для бизнеса пересмотреть свое отношение к безопасности клиентских данных. Страх потерять многомиллионные суммы заставит компании больше инвестировать в информационную безопасность. Так, большинству компаний потребуется ПО для оперативной установки факта утечки и его расследования. Но для начала нужно разобраться, что имеется ввиду под понятием «утечка данных», как такие ситуации классифицировать и какие штрафы назначать каждому классу утечек», — отметил Максим Вирченко, генеральный директор ITCOM Security.

«Использование меры по введению оборотного штрафа кажется логичным. При этом стоит учитывать, что для решения проблемы требуется комплексный подход, который способен повысить эффективность действующего законодательства и защитить интересы операторов и субъектов ПДн. Практика показывает, что использование DLP систем недостаточно для защиты данных, утечки всё равно происходят и в крупных масштабах. В современных реалиях нужно усиливать систему информационной безопасности, внедрять решения, которые контролируют доступ к конфиденциальной информации внутри периметра. Компаниям стоит задуматься о дополнительной защите в виде внедрения решений категории DCAP/DAG. При этом не каждая компания сейчас может выделить дополнительные бюджеты на новые решения, когда основной задачей является оперативное импортозамещение существующих систем.

Не стоит забывать об ущербе для физических лиц, чьи интересы защищает закон, а их данные при этом стабильно утекают в сеть. Человек может обратиться в суд и рассчитывать на взыскание морального вреда, но на практике это смешные суммы. При этом неизвестно, когда и каким образом злоумышленники воспользуются полученными данными, утечка может повлечь за собой вред здоровью и материальный ущерб, который не всегда так просто доказать.

Запуск программы в виде субсидирования закупок решений, направленных на защиту данных, оказал бы значительную поддержку современному рынку. Такое решение позволит защитить интересы непосредственно субъектов персональных данных, а также операторов персональных данных, вынужденных работать в условиях повышенного уровня киберугроз», — заявил Роман Подкопаев, генеральный директор Makves.

«Тема абсолютно правильная, текущие штрафы просто ничтожны и потому как превентивная мера неэффективны. Стоимость утечки данных одной учетной записи исчисляется копейками. Соответственно, компаниям проще заплатить штраф, чем вводить меры по предотвращению утечек. Идея ввести именно оборотные штрафы тоже удачная. Поскольку многие крупные компании сейчас формально убыточны, привязывать штраф к прибыли нелогично. С другой стороны, тех, у кого убыточность реальная, оборотный штраф может, что называется, добить. Поэтому для них, возможно, есть смысл предложить альтернативу и привязать штраф, как вариант, к капитализации компании.

То есть, если компания прибыльная, штраф может исчисляться в виде процента от прибыли. Если убыточная, но с растущей капитализацией, то это оборотный штраф. Если убыточная без роста капитализации, тогда можно привязать штраф к капиталу. Наряду с этим нужно исключить конкуренцию норм разрабатываемого закона и Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» N 187-ФЗ и Федерального закона «О персональных данных» N 152-ФЗ. Т.е., если новый закон как более поздний имеет для компании большую юридическую силу, в эти ФЗ нужно внести изменения, которые делают соблюдение их норм в части обеспечения защиты данных рекомендательным при условии реализации инцидента и выплаты штрафа», — уточнил Максим Степченков, совладелец компании RuSIEM.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.