Минцифры и другие ведомства поддержали введение штрафа с оборота для операторов, теряющих персональные данные (ПД) пользователей. Действующие меры неспособны остановить поток уходящей «налево» личной информации из организаций. Каковы перспективы нового вида наказания и как сделать его эффективным, вместе с участниками рынка выяснял RSpectr.

ЗАЧЕМ ШТРАФОВАТЬ С ОБОРОТА

Предложение об ужесточении санкций за утечку персональных данных прозвучало 17 февраля в Совфеде в ходе круглого стола на тему совершенствования законодательства в сфере оборота ПД. Участник мероприятия, директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович рассказала RSpectr, что такую инициативу высказало Минцифры, а представители Совфеда ее поддержали. При этом эксперт уточнила, что предложение пока «не облечено в форму конкретного законопроекта».

В пресс-службе Минцифры RSpectr подтвердили инициативу, сообщив, что введение оборотных штрафов «будет способствовать снижению количества инцидентов, связанных с утечками ПД».

Минцифры, пресс-служба:

– Важно отметить, что существующие сегодня штрафные санкции не побуждают операторов к безусловному выполнению требований законодательства в области персональных данных.

«Вопрос о повышении ответственности за утечки ПД обсуждается давно и пока бесплодно. Отсутствие серьезного наказания за 15 лет действия закона ничего, кроме удивления, вызывать не может. Ни одного законопроекта, дошедшего до обсуждения в парламенте, мне не известно», – сообщил RSpectr управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.

Он добавил, что

КРУГЛЫЙ СТОЛ В СОВЕТЕ ФЕДЕРАЦИИ – САМОЕ ЗНАЧИМОЕ СОБЫТИЕ, НО ПОКА РЕЧЬ ИДЕТ ТОЛЬКО О КОНЦЕПЦИИ

Мы видим консенсус, и можно ожидать, что работа над соответствующими нормами выйдет в активную фазу, прогнозирует руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев в разговоре с RSpectr.

А.Орехович соглашается с тем, что оборотные штрафы действительно могут повлиять на снижение числа утечек ПД. Сходная позиция у многих участников рынка. «Вспомним Oriflame, у которой 1,3 млн данных клиентов были выставлены на продажу хакерами. Тогда компания заплатила штраф в 30 тыс. рублей. При таких символических суммах бороться за безопасность личной информации крупным игрокам нет смысла», – рассказывает RSpectr исполнительный директор компании HFLabs (занимается обработкой и структурированием ПД в крупных компаниях) Константин Степанов.

Однако участники круглого стола отметили необходимость учитывать степень вины и влияние человеческого фактора при выявлении нарушений, уточнила А.Орехович.

Александра Орехович, ФРИИ:

– Одно дело, когда утечка явилась следствием ненадлежащего исполнения организацией своих обязанностей по обеспечению сохранности данных. То есть не выполнила необходимых мероприятий технического или административного характера. И совсем другое, когда она произошла из-за неправомерных действий сотрудника, несмотря на все меры, предпринятые компанией.

Ситуация с хранением конфиденциальных сведений в госкомпаниях плачевная. По данным «СёрчИнформ», в 2021 году чаще всего ПД пропадали из государственных учреждений:

• здравоохранения (45%);

• силовых структур (38,5%);

• органов госуправления (23,5%).

Без жесткой ответственности за нарушения проблему не решить, но подход должен быть взвешенный и дифференцированный, считает А.Парфентьев

Константин Степанов, HFLabs:

– Разные данные имеют разную ценность. Если злоумышленникам станет известен адрес человека и суммы на его банковских счетах, это опасно для жизни. А если узнают, что кто-то зарегистрирован на сайте по продаже товаров, это не так критично.

РАЗДЕЛЯЙ И НАКАЗЫВАЙ

Эксперты сходятся во мнении, что оборотные штрафы идеально градируют степень ответственности. При этом важно учитывать ряд факторов при наказании, отмечает М.Емельянников:

• размер утечки (количество пострадавших субъектов);

• состав данных, к которым получен неправомерный доступ (специальные категории, платежная информация, биометрия как минимум);

• потенциальные последствия утраты ПД для субъектов, состав и содержание мер, принятых оператором для защиты от их пропажи.

Эти факторы в большей мере можно учесть в правоприменительной практике при определении размера ответственности. Хотя часть из них, например, количество субъектов и категории данных, могут быть прямо указаны в законе, говорит М.Емельянников.

Директор департамента информационной безопасности Oberon Евгений Суханов считает, что следует учесть в законе фактор инцидента. Оператор должен понести более суровое наказание при утечке, чем при выявлении несоответствия безопасности в ходе штатного аудита регулятора, отметил он в разговоре с RSpectr.

ДРУГОЙ ВАЖНЫЙ МОМЕНТ, КОТОРЫЙ БУДЕТ ВЛИЯТЬ НА ЭФФЕКТИВНОСТЬ НАКАЗАНИЯ, – КАЧЕСТВО ДОКАЗАТЕЛЬНОЙ БАЗЫ

Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян уверен, что наказание в зависимости от размера выручки вызовет сильное сопротивление со стороны операторов, когда их привлекут к ответственности. «Как минимум все решения о вынесении таких штрафов будут до последнего оспариваться в судах. И здесь необходимо серьезно заниматься доказательством факта утечки и ее причины, который включает множество специальных экспертиз», – сообщил он RSpectr.

Ашот Оганесян, DLBI:

– Главная задача здесь – подтверждение источника сведений, на котором базируется достоверность последующего решения, но оно не должно быть слишком дорогим и сложным для заявителя. Пока что стандартная реакция оператора: «Докажите, что информация утекла именно у нас».

Эта позиция практически непробиваема для пострадавших (кроме остатков по банковским счетам), так как требует дорогостоящих и сложных экспертиз, которым обычно активно противодействуют, пояснил А.Оганесян.

Также судьи, которые будут выносить решение, в том числе в апелляционной и кассационной инстанциях, должны обладать специальными знаниями. Пока с этим ситуация еще хуже, чем с самими штрафами, считает глава DLBI.

БИЗНЕС И ГОССТРУКТУРЫ – КТО ОТВЕТИТ?

Естественно, инициатива в первую очередь должна затронуть именно крупнейшие корпорации с госучастием, такие как «Ростелеком», Сбербанк, ВТБ, которые являются крупнейшими операторами ПД, считает М.Емельянников. При этом эксперт признает, что с госструктурами ситуация более сложная – здесь уместней штрафовать должностных лиц, которые отвечают за безопасность личных сведений.

Безусловно, закон должен распространяться в равной степени на государственные и коммерческие организация, потому что с точки зрения субъекта ПД нет разницы, откуда они утекут, сообщил RSpectr руководитель отдела информационной безопасности компании Linxdatacenter Георгий Беляков.

А.Оганесян считает, что было бы странно наказывать от имени государства компании и ведомства, являющиеся его частью.

В ОТНОШЕНИИ ГОССЛУЖАЩИХ И СОТРУДНИКОВ ГОСКОМПАНИЙ БОЛЕЕ ЭФФЕКТИВНОЙ БУДЕТ ЛИЧНАЯ ОТВЕТСТВЕННОСТЬ, В ТОМ ЧИСЛЕ И ФИНАНСОВАЯ

Однако здесь также необходима проработанная система установления вины конкретных лиц и доказывания их ответственности за утечку данных, уточнил он.

Эксперты по информбезопасности (ИБ) считают, что госкомпаниям необходимо отдать на аутсорсинг профильным фирмам свою ИБ-структуру, либо в центры защиты данных, созданные при поддержке государства, либо полностью государственные.

Алексей Парфентьев, «СёрчИнформ»:

– Проблема госсектора не в отсутствии ИБ-бюджетов или низкой оснащенности защитными инструментами, а в дефиците профильных кадров. Зарплатная политика госучреждения не позволит конкурировать по условиям труда с коммерческим сектором.

ЕВРОПЕЙСКИЙ ПРИМЕР ЗАРАЗИТЕЛЕН

В Евросоюзе уже не первый год применяются денежные наказания в зависимости от размера выручки. Эти санкции предусмотрены «Общим регламентом по защите данных» (GDPR). В ЕС уже четыре года практикуют как штрафы с оборота, так и фиксируемые суммы за утечки. Последние измеряются миллионами евро. Безусловно, такие меры показали результат: европейские компании вынуждены либо лучше охранять данные, либо вовсе не быть оператором ПД, говорит А.Парфентьев. 

НА НАРУШИТЕЛЕЙ МОЖЕТ БЫТЬ НАЛОЖЕН ШТРАФ В РАЗМЕРЕ ДО 20 МЛН ЕВРО ИЛИ ДО 4% ОТ ГОДОВОГО ОБОРОТА ЗА ПРЕДЫДУЩИЙ ФИНАНСОВЫЙ ГОД

Главный достигнутый эффект в ЕС – устрашение и профилактика дальнейших нарушений со стороны компаний, констатирует А.Орехович.

«Помимо штрафов, которые для корпораций могут быть несущественны, еще важен репутационный ущерб. Это значит, что итоги проверок должны широко освещаться для общественности», – пояснил Е.Суханов.

В России оборотные штрафы тоже появились в законодательстве. В частности, они предусмотрены за отказ блокировки запрещенного в РФ контента. Их размер варьируется от 1/20 до 1/5 годового дохода компании, напомнила А.Орехович.

Также в 2021 году в десять раз вырос штраф за разглашение конфиденциальной информации. В рамках защиты прав потребителей запретили собирать избыточные, ненужные для оказания услуги данные. Звонки «службы безопасности банка» официально приравняли к мошенничеству.

В то же время Г.Беляков считает, что пока утечка ПД не будет наносить реальный и существенный репутационный ущерб операторам, никакие штрафы работать не будут.

Источник: Rspectr.com