В марте 2023 года Минцифры передало на рассмотрение в Комитет Госдумы по информполитике, IT и связи два законопроекта о порядке работы с персональными данными. Один вводит оборотные штрафы для компаний за утечку персданных. Второй — уголовную ответственность за их кражу и продажу. Соответствующее поручение было дано по итогам заседания Совета по развитию гражданского общества и правам человека, состоявшегося 7 декабря 2022 г.
Как грядущий законопроект воспринимает сама отрасль? Что делать компаниям и как выстраивать свою стратегию защиты? Спикер сессии «От и до: Оборотные штрафы за утечку персональных данных» грядущего XVI Форума директоров по информационной безопасности CISO Forum Мона Архипова, независимый эксперт по информационной безопасности, обрисовала ситуацию в сфере ИБ специально для организатора форума – Trinity Events Group.
– Прошлый год стал особенно турбулентным для ИБ и бизнеса в целом. Как вы это ощутили на себе?
Большую часть из тех событий, которые происходят сейчас, я предрекала достаточно давно: в пандемию, например, мы обсуждали безопасную организацию работы команды на удаленке, не только с технической точки зрения, но и с управленческой стороны. Еще раньше, в 2018 году, я призывала экспертов обратить большее внимание на то, как информационная безопасность влияет на скорость бизнеса и как не отставать от ежедневных изменений и неопределенности.
В этом году пришло время суммировать все те обстоятельства, которые произошли с миром за последние пять лет. Отрасль ускоряется, удаленный режим работы становится нормой, растет и будет расти количество угроз, связанных с удаленкой, поэтому для меня Форум этого года – повод подвести черту и признать, что мы находимся на острие всех этих событий. Тот, кто готовился и прислушивался, переживают кризис лучше, хоть и нервно. Тот, кто не был готов к такого рода угрозам, начинает экстренно выстраивать все процессы с нуля.
Отрадно то, что бизнесу сейчас не нужно доказывать важность вложений в информационную безопасность, как это бывало раньше. К сожалению, не все потраченные за эти годы в ИБ бюджеты себя успешно окупили – часть производителей в одностороннем порядке отозвала лицензии, и мы сейчас окончательно перешли в стадию: «Нет времени размышлять, пора делать». В том числе, искать более надежных вендоров на локальном и дружественных рынках.
– Касательно темы оборотных штрафов за утечку персональных данных: Минцифры обещает, что закон может быть внесен в Госдуму уже в апреле. Почему этот закон вообще стал так востребован именно сейчас?
Могу сказать только одно: «Наконец-то!». Наконец-то это случилось. Тема оборотных штрафов для российского законодательства – не новая. Она новая для законодательства в области информационных технологий, но при этом оборотные штрафы, например, уже давно используются в антимонопольном законодательстве. В плане реализации даже ничего придумывать не нужно – нужно просто адаптировать это к нашей сфере.
Почему введение оборотных штрафов – это хорошо? Те штрафы, которые действуют сейчас, были угрожающими для маленьких компаний, у которых совсем небольшой оборот, и для которых 50 – 100 тысяч это значимая трата. Для больших же компаний выбор был очевиден: либо выстраивать надежную систему безопасности, которая может стоить в лучшем случае несколько десятков миллионов рублей ежегодно, плюс содержание персонала, сопутствующие налоги и так далее, либо просто заплатить штраф. Да, это репутационно влияло, но общее отношение было скорее таким: «Ну утекло и утекло, заплатили, написали пользователям успокаивающие письма и живем дальше, никуда они от нашего сервиса не денутся и не откажутся».
Последний год нам показал, что фактически любая электронная регистрация, любой онлайн-магазин или маркетплейс – это место сбора огромных массивов информации о нас, как о пользователях. Узнать можно и адреса, и предпочтения, и график передвижений, и какую-то иную очень чувствительную информацию – например, банковскую или медицинскую тайну. Поэтому я считаю, что компании должны нести, в том числе, существенную финансовую ответственность за те сведения, которые они о нас получают и хранят в своих системах. Данные – новое золото.
Для тех компаний, которые и так вкладываются в информационную безопасность, но выделяют, возможно, недостаточно финансирования или уделяют недостаточно внимания внутренним процессам, связанным со своими сотрудниками или пользователями, это будет стимул усилить внутренний фокус на стратегию развития ИБ, и вообще сформирует понимание, чем это грозит бизнесу, кроме временного бурления в новостях.
– А повлияет ли реально угроза финансового наказания на количество утечек?
Да, но не сразу. Эффект не будет мгновенным, но, по крайней мере, любое дополнительное выстраивание систем укрепления информационной безопасности (конечно, если все выстроено добротно, а не для бумажки или для галочки) – это повышение стоимости атаки на вашу инфраструктуру, на бизнес, на подкуп людей внутри.
Нюанс в том, что тут очень важно не забывать про кадровую безопасность. Человек – самое слабое звено, и всегда было так, все 16 лет, что я работаю в отрасли. Но это не значит, что работать нужно только с людьми, и не обращать внимания на технику. Равно как и наоборот.
– Устраивает ли законопроект в его нынешнем варианте профессиональное сообщество? Есть ли в нем лакуны, которые стоило бы доработать?
Думаю, что устраивает. Всегда найдется пул экспертов, которые будут отстаивать разные позиции и обсуждать разные аспекты законопроекта, но моя позиция и позиция большинства коллег, с которыми я успела пообщаться, состоит в том, что мера будет эффективной в перспективе. Для больших компаний, где случаются массовые утечки (и любой может за небольшие деньги узнать почти любую информацию о другом человеке), это будет особенно ощутимой мерой. Я уверена, что наказывать за такие инциденты нужно именно рублем.
– Да, относительно суммы. Компаниям обещают оборотные штрафы от 5 до 500 миллионов рублей – действительно ли это угрожающие цифры?
Естественно, если мы привязываемся к обороту, такие суммы более чем эффективны. Думаю, что начинать с этого хорошо, и двигаться стоит к сумме без верхнего потолка. Понимаю, что будут попытки обхода этого законодательства через привлечение юрлиц с маленькими оборотами. Мы это видеть будем – наше цифровое государство дает нам такую возможность, но, в конечном итоге, законодательство будет совершенствоваться, в том числе в отношении дочерних компаний крупного бизнеса, и от штрафов никто не уйдет.
В этом смысле мы идем к практике международного бизнеса. В Европе, например, есть регламент по защите персональных данных GDPR, который изначально был привязан к оборотным штрафам, потому что оборотные штрафы априори страшнее для бизнеса. У государства нет цели стрясти с компаний больше денег, цель – привлечь внимание к тому, что безопасностью в ее различных аспектах нужно заниматься системно и по-настоящему.
– Есть ли какие-то смягчающие и отягчающие обстоятельства при назначении штрафов?
На мой взгляд, смягчающим обстоятельством может быть принадлежность бизнеса к малому или среднему. Малому и среднему бизнесу в России и без того в последние годы нелегко – чего стоило только пережить пандемийный период. Но небольшие компании и так довольно редко обрабатывают действительно большие массивы данных.
Второй момент – кроме оборотов, важно правильно оценивать масштаб утечки и тонко категоризировать все обстоятельства. Если утекло 15 учетных записей, или вообще данные были собраны из других источников – это одно. Если утекло 150 тысяч уникальных записей – совсем другое. Важно и максимально пристально валидировать, что инцидент действительно был утечкой. Мы уже знаем случаи, когда за новую утечку выдавали очень старые данные.
– Какое напутствие вы могли бы дать коллегам? Как бы сейчас посоветовали бы защищаться компаниям?
Учитывая специфику прошедшего года, здесь даже никаких напутствий особо давать не надо. Все на поверхности: ускорять импортозамещение, смотреть, чтобы наши продукты соответствовали международным стандартам и техническим требованиям, любить своих безопасников и айтишников, не дергать их лишний раз.
Я бы посоветовала держаться всем! Держитесь сами, держите руку на пульсе, проверяйте не только информационные системы, но и людей. Это наш типичный набор правил, который прописан во всех и российских, и международных стандартах, просто теперь его нужно выполнять четче, суровее и в разы быстрее.
