Компании по кибербезопасности увидели риски в новых положениях УК

26.12.2024 |
    Источник: RBCdaily
Работающие в сфере кибербезопасности компании опасаются, что их сотрудники могут подпасть под введенную недавно уголовную ответственность за незаконный оборот персональных данных. Положения УК стоит уточнить, считают в отрасли.

Принятые в конце ноября поправки в Уголовный кодекс (УК), направленные на борьбу с утечками персональных данных, могут негативно отразиться на рынке кибербезопасности. Такие опасения высказали опрошенные РБК представители нескольких компаний, занимающихся информационной безопасностью.

Как пояснил заместитель гендиректора ГК «Гарда» Рустэм Хайретдинов, новые положения УК предусматривают наказание для тех, кто получает доступ к похищенным данным в интернете, но такие действия ежедневно выполняют специалисты по расследованию инцидентов в сфере кибербезопасности. Они анализируют утечки, исследуют метаданные и образцы данных, чтобы определить характер и объем утечек. «Сейчас экспертное сообщество активно работает с законодателями, чтобы разрешить эту правовую коллизию. Вариантов решения несколько: возможно, это будут определенного вида лицензии на право заниматься киберрасследованиями, по аналогии с «белыми хакерами», — рассказал Хайретдинов.

Такие обсуждения действительно ведутся в профессиональной среде, подтвердил РБК Александр Метальников, эксперт направления безопасности промышленных предприятий компании Infosecurity (ГК Softline). Законодатели, по его данным, в дискуссии пока не участвуют. Эксперт напомнил, что еще во время второго чтения законопроекта с поправками предлагалось сделать исключения для компаний, занимающихся легитимным анализом похищенных данных, но в окончательную версию закона такие оговорки не попали. «В результате ряд компаний, осуществлявших анализ утечек в даркнете, приостановили свою деятельность в этой области, — сказал Метальников. — Одним из решений проблемы могло бы стать введение исключений для организаций с лицензиями Федеральной службы по техническому и экспортному контролю (ФСТЭК), которые занимаются мониторингом информационной безопасности».

По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, не только злоумышленники могут исследовать информацию в даркнете или теневых телеграм-каналах, где часто публикуются украденные базы данных, — эксперты по информационной безопасности также анализируют подобные объявления с утечками данных и уведомляют о них пострадавших клиентов. «Сейчас отрасль опасается, что такие действия могут попасть под действие УК. Важно, чтобы была предусмотрена возможность продолжить официально оказывать такие услуги. Например, чтобы регулятор выдавал разрешение на подобную работу», — продолжает Голованов. Он напомнил, что аналогичный подход уже показал свою эффективность в вопросе защиты от вредоносного кода — компании по кибербезопасности ежедневно работают с ним, но эта деятельность не классифицируется как незаконное создание, распространение или использование вредоносных программ.

Наличие опасений в связи с возможным привлечением к уголовной ответственности работников, занимающихся информбезопасностью компаний, подтверждает руководитель направления консалтинга в «К2 Кибербезопасность» Ольга Трофимова. По ее словам, это может произойти в случае, если при оказании услуг по защите информации их действия в отношении персональных данных будут квалифицированы как неправомерный доступ к ним. Кроме того, действия представителей компаний в области информационной безопасности могут быть признаны совершенными группой по предварительному сговору, что увеличит уровень уголовной ответственности. Такое возможно, если компании получат доступ к персональным данным клиентов, оказывая услуги без подписания договора, определяющего обязанности и полномочия контрагентов, в том числе в части обработки и защиты данных, пояснила эксперт.

На рынке есть мнение, что любая незаконная обработка персональных данных может попасть под действие новой статьи УК, говорит бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий. По его словам, под незаконной обработкой регулятор понимает не только обработку сведений об утечках персональных данных, к которым имеют доступ компании в области информационной безопасности, но и передачу персональных данных без согласия, например в рамках группы компаний, неверную форму согласия на обработку персональных данных, обработку cookies (небольшие фрагменты текста, передаваемые в браузер с сайта, который открывает пользователь; с их помощью сайт запоминает информацию о посещениях), а также другие нарушения, которые раньше рассматривались как некритичные либо попадали под административное наказание. Сейчас регулятор их всерьез рассматривает с точки зрения нового состава преступления, пояснил эксперт.

Согласны ли власти с опасениями

Цель нового закона — не ограничить законную деятельность специалистов в области кибербезопасности, а пресечь злоумышленное использование данных, сказал РБК член Совета Федерации, заместитель председателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин. Преступлением, по его словам, будет считаться незаконный оборот компьютерной информации, которая получена незаконным путем и содержит персональные данные. Если специалисты по расследованию киберинцидентов действуют на основании договоров с заказчиками, соблюдают законы и не нарушают права третьих лиц, то их действия не подпадают под незаконный оборот, указал Шейкин. «Мы готовы рассматривать предложения отрасли, если практика применения закона потребует дополнительного обсуждения», — добавил сенатор.

Глава комитета по информационной политике Госдумы Сергей Боярский передал через своего представителя, что к ним не поступали предложения от отрасли о внесении поправок в УК в части изменения нормы ответственности за нарушение законодательства о персональных данных. «Персональные данные, особенно биометрические персональные данные, — это очень чувствительная тема, и комитет последовательно выступает за то, чтобы закон максимально отвечал требованиям времени в части их защиты», — пояснил он.

Уголовная ответственность за незаконный сбор и передачу персональных данных россиян, а также за создание сайтов для их незаконного оборота предусматривается только для мошенников, осуществляющих доступ и распространяющих утекшие данные, сообщил РБК представитель Минцифры. По его словам, речи о добросовестных гражданах и специалистах в области информационной безопасности не идет — это одна из инициатив, входящих в комплекс мер по снижению и предупреждению случаев кибермошенничества. Сейчас Минцифры находится в диалоге с представителями индустрии и силовым блоком по этому вопросу, добавил собеседник РБК.

Екатерина Шокурова
Анна Балашова

Свежее по теме

Киберэксперт Полунин предупреждает: хакеры могут получить полный контроль над системой
Киберэксперт Полунин предупреждает: хакеры могут получить полный контроль над системой
Как воруют деньги у юридических лиц: «Ростелеком» предупреждает о новой мошеннической схеме
Как воруют деньги у юридических лиц: «Ростелеком» предупреждает о новой мошеннической схеме
CAPTCHA подвергается атакам с помощью ИИ
CAPTCHA подвергается атакам с помощью ИИ
Компания «ИнфоТеКС» объявляет о выпуске сертифицированной версии ViPNet xFirewall 5.6.2
Компания «ИнфоТеКС» объявляет о выпуске сертифицированной версии ViPNet xFirewall 5.6.2

Интересные ссылки

Тематики: Регулирование, Безопасность

Ключевые слова: информационная безопасность, регулирование, персональные данные