24 мая 2024

Правительство и администрация президента не одобрили смягчение штрафов за утечки персональных данных

Ад­ми­нис­тра­ция пре­зиден­та, а за­тем и пра­витель­ство РФ от­кло­нили пред­ло­жения по смяг­че­нию поп­ра­вок ко вто­рому чте­нию за­коноп­роек­та, ко­торый уси­ливает от­ветс­твен­ность для ви­нов­ни­ков уте­чек дан­ных вплоть до уго­лов­ной. По мне­нию эк­спер­тов, уго­лов­ная от­ветс­твен­ность поз­во­лит под­нять рас­сле­дова­ния та­ких ин­ци­ден­тов на но­вый уро­вень.

Как стало известно изданию РБК, российское правительство 22 апреля согласовало ко второму чтению версию поправок в Уголовный кодекс, ужесточающих ответственность за утечки персональных данных. В тот же день администрация президента также не поддержала смягчение наказания за утечки данных для бизнеса при условии, что компании выделяют средства на кибербезопасность и компенсируют ущерб. Соответствующий законопроект внесли в декабре 2023 г. председатель комитета Государственной Думы по информационной политике, информационным технологиям и связи Александр Хинштейн, а также сенаторы Андрей Клишас и Андрей Турчак. В январе 2024 г. законопроект прошел первое чтение.

В конце декабря 2023 г. Ассоциация больших данных обратилась с письмом в комитет Госдумы по госстроительству и законодательству. В данном документе авторы предлагали уточнить ряд формулировок и смягчить ответственность в ряде случаев, в том числе для компаний, которые выделяют средства на обеспечение безопасности данных и компенсировали ущерб пострадавшим.

 

Как отметил на XIII Форуме безопасного интернета член совета при президенте Российской Федерации по развитию гражданского общества и правам человека, президент ООО "Ашманов и партнеры" Игорь Ашманов, попытки сохранить, насколько это возможно, существующий status quo со стороны крупнейших цифровых платформ, которые являются учредителями Ассоциации больших данных, успехом не увенчались. По его мнению, именно крупные цифровые платформы и стоят за крупнейшими утечками данных жителей России, и они крайне не заинтересованы в ужесточении законодательства по защите персональных данных, поскольку перевод ответственности из административной плоскости в уголовную позволит провести полноценное расследование инцидента, что, с большой долей вероятности, вскроет факты масштабной некомпетентности и халатности персонала цифровых экосистем и платформ. Штрафы, в том числе оборотные, как подчеркнул Игорь Ашманов, для крупных компаний не являются серьезным наказанием.

Генеральный директор облачного провайдера "Нубес" (Nubes) Василий Степаненко не считает позицию Ассоциации больших данных лоббированием смягчения наказаний: "О лоббировании смягчения речи не идет. Важен принцип: наказание за проступок должно наступать только в случае, если доказано, что он совершен. И при этом ответственность должна быть соразмерной проступку. Но в нынешних условиях доказать утечку данных сложно. Мы видим много ложных рассказов от хакеров о громких взломах и утечках, а потом оказывается, что "взломанные и украденные" базы персональных данных составлены из разных кусков других баз и не имеют отношения к организации или компании, которую якобы взломали. Кроме того, точно сказать, сколько именно данных утекло, в большинстве случаев может разве что хакер, который ломал базу. При этом, если закрутить гайки по ответственности за персданные - бизнес просто не сможет нормально работать, ведь без знания клиента, а значит работы с его ПДн, в цифровом мире развиваться практически невозможно. Сейчас не самое удачное время, чтобы давить на бизнес".

Заместитель генерального директора группы компаний "Гарда" Рустэм Хайретдинов согласен, что большие массивы данных могут утечь только из больших цифровых систем, хотя статистика инцидентов является несколько однобокой и в нее попадает не все: "В других источниках таких объемов просто нет. Однако и защита инфраструктуры и данных у больших цифровых систем на порядок более зрелая и качественная, чем у небольших сервисов. Скомпилировать утечки из небольших интернет-магазинов, региональных реестров, обогатить их открытыми данными - дело довольно простое, и сравнивать мощности одного и другого я бы не взялся. Статистика по открытым источникам несколько однобока: публичными становятся только утечки, которые вызывают широкий резонанс. Маленькие регулярные утечки неинтересны прессе и потому так и остаются в недрах даркнета, хотя представляют не меньшую угрозу, поскольку длятся они долго. Проверить актуальность данных даже у публично доступных массивов - непростая работа. Поэтому я скорее бы сказал, что утечки из больших цифровых платформ, ставшие публичными, вызывают больший общественный резонанс, чем другие утечки".

Ведущий инженер CorpSoft24 Михаил Сергеев назвал два возможных сценария масштабных утечек: "Может идти речь о целенаправленной атаке на конкретный ресурс для похищения базы данных, которая содержит нужную злоумышленнику информацию, в том числе персональные данные. Этот вариант сложен, требует больших ресурсов и может быть вообще не реализован. Второй - связан с поиском известных уязвимостей через различные сканеры. Огромное количество владельцев платформ игнорируют различные процедуры по защите системы, не выполняют обновление платформы, через определенное время сканеры находят их и взламывают, а данные оказываются в публичном доступе. Подобных систем очень много, и можно сказать, что они являются основным источником утечек персональных данных".

Ведущий консультант по информационной безопасности Innostage Татьяна Никанорова связывает массовые утечки данных в России с недостаточным уровнем зрелости процессов защиты в компаниях: "По данным Innostage, более 85% утечек персональных данных за 2023 г. произошли в сегментах, связанных с услугами в интернете: сфере доставки, в интернет-магазинах, у сайтов покупки билетов и туров, новостных порталов и социальных сетей. Основной причиной большого количества утечек цифровых платформ является доступность и массовость размещения персональных данных пользователями, а также отсутствие необходимого уровня зрелости процессов защиты и обработки ПДн. Введение уголовной ответственности направлено на снижение роста преступлений, связанных с незаконным использованием, передачей, сбором и хранением персональных данных. Улучшению качества расследования инцидентов утечки должно способствовать повышение осведомленности специалистов, ответственных за обеспечение ИБ, о принятых нормативных актах, регламентирующих порядки расследования инцидентов и взаимодействия с регуляторами, а также совершенствование технических знаний работников, расследующих инциденты, в том числе в области компьютерной криминалистики - Digital Forensic".

Василий Степаненко считает, что необходимо прежде всего добиваться гарантии обеспечения защиты данных, а не повышения ответственности для нарушителей: "Введение уголовной ответственности усилит значимость вопроса сохранности персданных в глазах руководства компаний, которые ПДн обрабатывают и хранят. Однако важно обеспечивать реальную защиту данных, а не усиливать страх бизнеса перед наказанием, парализуя его работу. Какая-то информация уже утекла в Сеть, и найти информацию можно практически про любого субъекта персданных. При этом уверенно утверждать, свежая утечка или прошлогодняя, крайне сложно. Чтобы проводить эффективные расследования утечек, нужны валидные логи событий, а сейчас процесс сбора и хранения таких логов недостаточно четко прописан в регулирующих документах. Исключением является финансовая сфера, где регулятором является Центробанк".

Как подчеркнул Игорь Ашманов, утечки данных стали для России вопросом национальной безопасности, поскольку их активно используют злоумышленники в ходе атак, они являются стартовым капиталом для мошенников. При этом он напомнил, что объемы утекших данных продолжают быстро расти: по итогам I квартала 2024 г. утекло 510 млн записей персональных данных российских граждан, что больше, чем за весь 2023 г. (490 млн).

Член Общественной палаты Российской Федерации, глава Лиги безопасного интернета Екатерина Мизулина заявила, что в России персональные данные любого гражданина получить легче, чем где бы то ни было в остальном мире. Она обратила внимание, что такая легкая доступность данных о людях приводит к тому, что их используют не только мошенники в ходе массовых атак, но и в кампаниях интернет-травли (кибербуллинга). Лига безопасного интернета выявила несколько десятков таких инцидентов по итогам 2023 г.

Источник: Comnews

Приглашаем на конференцию для директоров по маркетингу и PR-руководителей ИТ-компаний 

5 июня 2024

На мероприятии встретятся директора по маркетингу и PR-руководители крупных российских ИТ-компаний.

 

Экс-редактор Comnews присоединился к команде iTrend

30 мая 2024

На позицию руководителя проектов коммуникационного агентства iTrend вышел Денис Шишулин – ранее многолетний выпускающий редактор издательской группы ComNews, одного из самых авторитетных ИТ-изданий в России. В iTrend Денис будет отвечать за стратегическое руководство ряда PR-проектов с ИТ-компаниями, оперативное взаимодействие со СМИ, координацию работы команд, а также за качество проектов, которыми руководит в агентстве.

 

iTrend — в числе топ-агентств России по версии «Рейтинга Рунета»

28 мая 2024

Опубликованы итоги ранкинга коммуникационных агентств от «Рейтинга Рунета–2024». iTrend занял лидирующие места в ключевых для агентства срезах — PR в ИТ-отрасли, SMM в ИТ-отрасли, PR и SMM на аудиторию b2b enterprise, PR-аналитика, PR первых лиц и др.

 

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 
Все новости iTrend