Российские компании добиваются пересмотра штрафов за утечки данных при условии инвестиций в кибербезопасность
Изображение: recraft
В России может появиться система учёта смягчающих условий при инцидентах с утечками персональных данных. Как сообщает издание «Ведомости», представители бизнеса, Минцифры, ФСТЭК и ФСБ обсуждают создание единого перечня мероприятий в сфере информационной безопасности, выполнение которых позволит снизить санкции за повторные нарушения. Поводом для этой дискуссии стало грядущее вступление в силу изменений в законодательстве, ужесточающих ответственность за такие инциденты.
С 30 мая в стране начнут действовать оборотные штрафы за повторные утечки данных. Поправки к закону «О персональных данных» предусматривают возможность снижения размера взысканий, если компания на протяжении трёх лет тратит не менее 0,1% своей годовой выручки на защиту информационных систем. Такая формулировка уже вызвала вопросы у участников рынка, которые указывают на необходимость чётких критериев.
На этом акцентировала внимание Ирина Левова, директор по стратегическим проектам Ассоциации больших данных. По её словам, формулировки о затратах на ИБ пока остаются расплывчатыми, и бизнесу неясно, какие именно меры входят в этот объём.
Ирина Левова отметила, что отрасль вместе с профильным ведомством сейчас вырабатывает конкретный список мероприятий, которые могли бы быть зачтены в пользу компании при возникновении инцидента. В обсуждении принимают участие и представители ФСТЭК, и специалисты ФСБ.
Информацию о таких консультациях подтвердили в Министерстве цифрового развития. Представитель ведомства сообщил, что совместно с другими заинтересованными структурами и игроками рынка продолжается работа над проектом документа, в котором будут перечислены допустимые меры в сфере защиты данных, способные повлиять на итоговую сумму штрафов.
Подобная инициатива, по оценке участников рынка, позволит не только снизить нагрузку на добросовестные компании, но и простимулирует системную работу по повышению уровня киберзащиты. При этом бизнес настаивает на чёткости критериев — чтобы инвестиции в безопасность не стали формальностью, а действительно приносили результат.
Александр Зубриков, CEO ITGLOBAL.COM Security, заявил CISOCLUB: «С одной стороны, инициатива полезная и логичная. Странно, что в исходной версии законопроекта в принципе не были заложены никакие исключения и смягчения. Бизнес, который занимается информационной безопасностью добросовестно, должен иметь возможность минимизировать свои риски, в отличие от тех компаний, которые не выполняют требования регуляторов. Такой инструмент определенно станет дополнительной мотивацией развивать собственную ИБ. Но есть и обратная сторона медали: в случае появления неких «минимальных» критериев, выполнение которых позволит избежать оборотного штрафа, или снизить его, многие компании остановятся на их выполнении, хотя могли бы сделать больше для защиты своих данных. Кроме того, это обяжет регуляторов формировать более строгие требования, и регулярно актуализировать их, что дополнительно усложнит жизнь бизнесу.
Учитывая вышесказанное, законотворцам предстоит решить нетривиальную задачу: с одной стороны, поощрить тех, кто действительно занимается ИБ, с другой – избежать «бумажной» безопасности и гонки за базовыми критериями, которые помогут избежать наказания».
Андрей Медунов, руководитель группы по сопровождению GR проектов ГК «Солар»: «Достичь 100% защищенности данных невозможно. Но это совершенно не значит, что не нужно вести системную работу по совершенствованию и адаптации систем защиты информации. Снижение размера штрафа – это стимулирующая мера, направленная на организации, которые уделяют большое внимание информационной безопасности. При этом важно определить критерии предоставления смягчения ответственности. Перечень трат на ИБ не менее 0,1% своей годовой выручки должен отражать реальные статьи расходов компаний и формироваться в рамках комплексного диалога государства и бизнеса. Без такого диалога возрастают риски снижения эффективности ее применения в целях повышения киберустойчивости бизнеса и государства».
Виктор Чащин, операционный директор МУЛЬТИФАКТОР: «Инициатива учитывать смягчающие обстоятельства при утечках – достаточно спорная. И выглядит это так: «мы тратили 0.1% на защиту, но нас всё равно сломали. Дайте скидку 2% на штраф».
Безусловно, подход «штрафовать всех одинаково» не работает, ведь уровень зрелости информационной безопасности у многих компаний разный и у всех свои подходы. Поэтому есть ощущение, что данная мера будет использоваться исключительно для подстраховки на бумаге, когда покупаются средства защиты, но либо они не внедряются, либо используются не так, как положено.
Идея с единым перечнем таких мер – это правильный вектор. Главное – чтобы перечень был внятным и не превращался в очередную «отчётную бумажку». В любом случае придётся разбираться, действительно ли траты были применены должным образом».
