Минэкономразвития предлагает распространить оборотные штрафы за утечки на разработчиков профильного защитного ПО
Image: Unsplash
Владимир Волошин, руководитель департамента цифрового развития и экономики данных Минэкономразвития РФ, заявил о существенных рисках для ряда отраслей деятельности, в том числе для сектора МСП, в случае ужесточения закона об утечке данных. При этом чиновник предложил распространить оборотные штрафы за утечки информации на разработчиков, если инцидент произошёл, а специализированный софт не смог обеспечить защиту.
Владимир Волошин во время общения с журналистами агентства ТАСС подчеркнул, что необходимость изменения законодательства в части утечек конфиденциальных данных назрела давно. Однако требуется учитывать различные социально-экономические последствия, так как персональными данными граждан сейчас пользуются практически все организации в стране. В связи с этим применение новых штрафов для компаний, допустивших повторные утечки информации, может привести к значительным рискам для многих отраслей: банковской, энергетической, строительной, транспортной, туристической, медицинской и других.
По мнению Владимира Волошина, требуется переработать подходы в части формирования правоприменительной практики. В частности, он отметил, что необходимо наделить Роскомнадзор не только полномочиями, но и нужными ресурсами, чтобы обеспечить процедуру выявления утечек «без излишних опасений бизнеса».
Владимир Волошин также отметил, что проведённые исследования показали: если бы закон об оборотных штрафах за утечки был принят в 2023 году, его реализация могла бы привести к тому, что 80% компаний сектора МСП оказались бы на грани банкротства.
Чиновник резюмировал, что, судя по комментариям представителей разработчиков ИБ-продуктов, в России уже сейчас есть весь необходимый софт, готовый обеспечить высокий уровень защиты информации. В связи с этим он предложил рассмотреть возможность распространения оборотных штрафов за утечки на самих разработчиков в случае, если программные средства не смогли обеспечить защиту данных.
Александр Зубриков, генеральный директор ITGlobal Security, заявил редакции CISOCLUB: «Предлагаемое регулятором распределение ответственности на всех участников рынка защиты информации – скорее положительный факт. Конечно, многое зависит от реализации, и, несомненно, это приведет к повышению зрелости всей отрасли. Рассчитываем, что повышение ответственности разработчиков в сфере защиты информации повысит и общую культуру разработки программных продуктов, в т.ч. не являющихся СЗИ.
Еще совсем недавно мы сталкивались с ситуацией, когда СЗИ имеет подтверждение соответствия, и де-юре подходит для ИС с высоким уровнем защищённости, но может иметь уязвимости в своем собственном коде. Надеемся, что с реализацией предлагаемой инициативы, эти времена уйдут окончательно».
