Первые версии новых законопроектов на пресс-конференции в Москве озвучил сенатор РФ, заместитель председателя совета по развитию цифровой экономики при Совете Федерации Артем Шейкин. В частности, он рассказал про законопроект о киберстраховании рисков и угроз, который усиливает ответственность оператора за утечки персональных данных. Исходя из формулировки, компании теперь будут нести ответственность не только перед государством, но и перед гражданами посредством банковской гарантии или договора страхования.
Директор по информационной безопасности (ИБ) АО "Элемент" (производитель микроэлектроники) Александр Дворянский поддержал законопроект: "Инициатива правильная и ожидаемая, так как стимулирует компании максимально защищать обрабатываемые персональные данные клиентов и партнеров. Наряду с потенциальным ужесточением административных санкций за утечку персональных данных компаниям проще и экономически эффективнее будет выполнять весь требуемый комплекс мероприятий, направленных на обеспечение безопасности, чем платить существенные штрафы, вкупе с репутационными рисками".
Генеральный директор компании-интегратора по информационной безопасности iTPROTECT Андрей Мишуков рассказал о нюансах законопроекта: "Инициатива очень трудоемка с точки зрения определения самого инцидента утечки данных. Как считать их стоимость? Как сравнивать с утекшими ранее данными? Каждый ли раз платить гражданам или единожды? По чьей вине случилась утечка? Иногда сам пользователь по неосторожности оставляет информацию там, где не следует, например в чате техподдержки. Поэтому потребуется учесть множество различных нюансов. Сам законопроект не сможет снизить количество утечек, он только определит финансовую ответственность операторов перед субъектами. И уже эта ответственность позволит более серьезно отнестись к защите персональных данных от утечек".
Также Артем Шейкин презентовал законопроект о легализации деятельности белых хакеров. Он отметил, что специалисты находятся вне правового поля, из-за чего обстоятельства не способствуют привлечению кадров в отрасль. "Мы вместе с экспертами по ИБ разработали отдельный проект федерального закона "О деятельности по поиску уязвимостей и оценке защищенности информационных систем". Мы предлагаем ввести понятийный аппарат, определить субъектный состав участников этой деятельности, закрепить виды деятельности, такие как "поиск уязвимостей", "оценка защищенности", "независимая инициативная деятельность", а также определить регуляторов", - пояснил Артем Шейкин.
Александр Дворянский считает, что инициатива, касающаяся белых хакеров, требует доработки: "Не стоит торопиться с решениями, пока нет для этого полноценной нормативной базы. Но принимая во внимание успешную практику использования bug bounty, возможно, текущая инициатива получит дальнейшее развитие в той или иной форме".
Андрей Мишуков предложил вариант решения проблемы: "Белые хакеры практически всегда работают на грани, допустимой законодательством. От уголовной ответственности их отделяет только явный запрос от владельца тестируемой ими структуры. Если владелец компании, нанимающий белых хакеров, начинает отказываться от тестирования, то у них не остается каких-либо прав отстоять позицию и доказать, что они оказали услугу, а не совершили противоправное действие. Поэтому основной задачей здесь является упрощение белым хакерам жизни и наделение их правами и возможностями легально вести деятельность и получать за это заработок. Возможно, стоит рассмотреть введение лицензий на подобную деятельность и постановку таких специалистов на учет, по аналогии с учетом и лицензированием права на ношение средств самообороны".
Кроме того, Артем Шейкин на пресс-конференции поднял вопрос телефонного мошенничества, которое часто возникает из-за проблемы оформления SIM-карт без подтверждения паспортных данных. Для этого он предложил законодательно приравнять SIM-карты к средствам платежей.
Ведущий консультант по информационной безопасности компании Innostage Татьяна Никонорова усомнилась в таком решении: "Приравнивание SIM-карт к средствам платежей - это очень длительный и неопределенный процесс. Решить проблему незарегистрированных SIM-карт или оформленных не на тех граждан подобным образом можно только для новых телефонных номеров, которых в сравнении с действующими картами слишком мало. На сокращение масштабов мошенничества с помощью серых SIM-карт в России направлено большое количество норм, которые не выполняются полноценно, - например, требования по обновлению паспортных данных".
Специалист по противодействию финансовому мошенничеству компании по борьбе с киберпреступностью F.A.C.C.T. Дмитрий Дудков считает, что такой шаг позволит сократить преступность: "Если SIM-карты приобретут статус "средство платежа", то это будет способствовать тому, что для злоумышленников осложнится и станет более затратным процесс получения "симок". Инициатива позволит привлекать к уголовной ответственности лиц, которые занимаются их распространением и реализацией. Ужесточение наказания может иметь устрашающий эффект на потенциальных правонарушителей, что может снизить количество совершаемых преступлений".
Павел Королев