В ходе ежегодного заседания Совета по развитию гражданского общества и правам человека (СПЧ) с участием президента России Владимира Путина одной из тем стал вопрос регулирования и защиты персональных данных. Этой теме было посвящено выступление члена СПЧ, председателя общественной организации "Национальный антикоррупционный комитет" Кирилла Кабанова. Он рассказал об опасности подхода к данным как к собственности, которую накопил бизнес, и напомнил о череде громких инцидентов текущего года, среди которых утечки в "Яндекс.Еде" и сети лабораторий "Гемотест". При этом виновники отделались незначительными штрафами.
"В этой связи представляется целесообразным установить более высокие оборотные штрафы, прежде всего для компаний, допустивших утечку персональных данных. Это обеспечит защиту персональных данных и будет стимулировать бизнес к усилению безопасности, - такое предложение внес Кирилл Кабанов. - Но одними оборотными штрафами проблему не решить. Необходимо вводить уголовную ответственность за незаконный оборот персональных данных. Поскольку в большинстве случаев речь идет не просто о случайных утечках - это либо хищение, либо некое умышленное воровство внутри компании". Также Кирилл Кабанов призвал не начинать работу над любыми проектами, где не устранены все возможные риски, связанные с утечками персональных данных.
Президент согласился с предложениями: "Все, что не отрегулировано, нуждается в дополнительном регулировании. И наверное, есть необходимость и ужесточения ответственности за правонарушения в этой сфере. Что касается оборотных штрафов и уголовной ответственности. Те, кто используют эти данные, должны знать и понимать, что они используют украденные данные, - именно так, потому что даже имущество, которое украдено, если это добросовестный приобретатель, добросовестный покупатель того или иного имущества, он ведь не знает о том, что это украденный товар. По аналогии то же самое и здесь… Оборотные штрафы - безусловно, нужно об этом подумать. Но, безусловно, еще раз подчеркну, вы правы в том, что должны быть проработаны и должны быть приняты соответствующие решения, защищающие интересы граждан". Владимир Путин обещал подготовить соответствующие поручения МВД, Минцифры и Банку России.
По мнению председателя Комитета Госдумы РФ по информационной политике, информационным технологиям и связи Александра Хинштейна, никто не мешает привлекать виновников утечек уже сейчас, так как значительная часть эпизодов вполне подпадает под ст.293 УК РФ (халатность). Особенно, по его мнению, это будет действенной мерой против недобросовестных сотрудников госучреждений.
Управляющий партнер коллегии адвокатов Pen & Paper Алексей Добрынин, однако, считает, что использование сведений из утекших баз данных по действующему уголовному законодательству не является преступлением: "На сегодняшний день ответственность несет только лицо, которое собирает или распространяет сведения о частной жизни - ст.137 УК РФ "нарушение неприкосновенности частной жизни". Получается, другие лица используют данные, которые уже находятся в отрытом доступе. Собирание сведений из открытых источников является правомерным. В связи с этим в законодательной инициативе определенно есть логика. Однако обращение к инсайдерам с просьбой "пробить человека" уже однозначно преступно для лиц, которые вопреки служебным интересам используют доступ к закрытым базам данных. В таком случае ответственность наступает по ч.2 ст.137 УК РФ за нарушение неприкосновенности частной жизни с использованием своего служебного положения. Заказчик также может быть привлечен к уголовной ответственности за свою просьбу через институт соучастия. То есть как подстрекатель к данному преступлению - ч.4 ст.33, ч.2 ст.137 УК РФ. Закон это позволяет".
Управляющий RTM Group Евгений Царев рекомендует дать точные определения, которые в настоящее время отсутствуют: "Для того чтобы реально говорить об ответственности за утечки, нужно четко определить, что такое утечки. Все известные мне попытки дать однозначное определение провалились. Странно нести ответственность за то, чему нет определения. Например, копирование сотрудником корпоративной информации на флешку - это утечка? Или утечкой это сможет считаться только тогда, когда работник покинет помещение компании? Или когда передаст информацию третьим лицам? Или когда они выложат ее в публичный доступ и начнут продавать? А ведь они могут не выложить и не продавать, а использовать для реализации многоуровневой атаки. Является ли это утечкой? Или это что-то другое? То есть нужны ли дополнительные условия для определения утечки, например, использование базы в противоправных целях? Здесь очень много вопросов, а ответов, увы, нет или все они противоречивы. В целом позиция правильная - с утечками нужно бороться. Но нужны не только термины, но и подходы. Каким образом будет фиксироваться факт утечки? Как будет рассчитываться штраф? И т.д. и т.п. Если настроить государственную систему на борьбу с утечками, то радикально снизить факты утечек можно, но важно учесть множество деталей".
Бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий считает, что все зависит от правоприменительной практики: "Сейчас предлагается две формы усиления ответственности. Одна - административная, связанная с оборотными штрафами. Именно она может повлечь за собой усиление внимания со стороны операторов персданных к защите персональных данных, которые они обрабатывают. А вторая норма, связанная с уголовной ответственностью за незаконный оборот персональных данных, которая никак не влияют на усиление мероприятий, связанных с обеспечением безопасности, потому что она накладывается на тех, кто крает или торгует незаконно полученными персональными данными. Что же касается оборотных штрафов, то, с одной стороны, безусловно, это должно повлечь за собой усиление внимания, но в основном только для крупных операторов персональных данных, которые обрабатывают большие объемы личной информации о пользователях либо о своих сотрудниках. Но повлияет ли это всерьез на усиление внимания к вопросам безопасности, покажет только правоприменительная практика, потому что, как мы знаем, у нас жесткость законов часто компенсируется необязательностью их исполнения либо отсутствием желания у правоприменения, собственно, это правоприменение реализовывать".
"Ввод оборотных штрафов лишь отчасти поспособствует увеличению ответственности. Подобные инициативы уже активно прорабатываются, но в процессе согласования проектов уменьшился размер возможного штрафа и появился ряд критериев, которые необходимо будет выполнить, чтобы доказать факт утечки и актуальность данных. Это позволяет предположить, что реальная ответственность будет не такой серьезной. К тому же непонятно, насколько эффективной окажется мера в отношении государственных организаций, которые тоже могут допускать утечки. Возможно, будет введена ответственность не только в отношении юридических лиц, но и должностных, - считает руководитель аналитического центра Zecurion Владимир Ульянов. - Чтобы ситуация с утечками существенным образом поменялась, надо мотивировать бизнес заняться вопросами безопасности данных. Само общество должно более щепетильно относиться к приватности информации. А пока мы видим, что люди в большинстве спокойно относятся к очередным сливам и даже такие зрелые проявления, как коллективные иски к виновным по факту крупных утечек, отклоняются судами. Важно, чтобы люди, владельцы персональных данных, осознали, что эти данные ценны, что они защищаются законом, организации и виновные могут понести ответственность. Тогда реакция на утечки может быть совсем иной. Потеря доверия и самих клиентов может больно ударить по бизнесу. Как следствие, компании, которые считают деньги, увидят реальную выгоду защищать информацию. Сейчас, опять же, экономически целесообразно заплатить ничтожный штраф и продолжать работать, как и раньше".
По мнению руководителя департамента цифровых решений агентства "Полилог" Людмилы Богатыревой, есть риск превращения оборотных штрафов в средства шантажа и давления на бизнес: "Если введут оборотные штрафы, которые прямо влияют на финансовую устойчивость организации, недобросовестные компании могут начать провоцировать утечки, используя сотрудников конкурентов. Чтобы "слить" данные, достаточно всего пары тысяч рублей. Несколько оборотных штрафов подряд, и компания становится банкротом, конкурент устранен. Для защиты от утечек необходим стандартный набор: средства контроля удаленного доступа, средства антивирусной защиты и др. Однако важно не только купить средства защиты, но и проконтролировать их грамотное внедрение, разработав организационно-распорядительную документацию (ОРД). Кроме того, стоит выделить категории чувствительной информации и установить ответственность за ее утечку. Например, в трудовом договоре сотрудника".
"Введение уголовной ответственности вряд ли изменит существующую порочную деятельность. В любом случае необходимо отрабатывать соответствующие механизмы на практике и повышать служебный контроль за лицами, имеющими доступ к закрытым базам данных", - предлагает Алексей Добрынин.
Руководитель направления по работе с клиентами Aktiv.Consulting Олег Симаков считает, что усиление ответственности будет иметь эффект: "Корреляция определенно будет прослеживаться, так как редкие представители бизнеса видят своей ценностью обеспечение конфиденциальности данных своих клиентов. Без требований регуляторики на этом просто экономят, так как существующие штрафы копеечные. Главное - это установить регуляторные требования, ответственность, в виде административной и уголовной, а также штрафы, в том числе оборотные, контроль - обязательно независимый. А уже инструменты и лучшие практики давно имеются. Необходимо создать такие условия, чтобы бизнесу было выгодней реализовывать данные мероприятия, а не принимать риск утечки информации".
"До тех пор пока штрафы за утечки будут меньше, чем затраты на внедрение технических мер и усиление организационных, большинство руководителей не станут воспринимать эти угрозы всерьёз", - уверен руководитель департамента ИТ ООО "Аурига" Дмитрий Иванов.
Руководитель направления Центра компетенций по информационной безопасности "Т1 Интеграции" Валерий Степанов считает, что нельзя возлагать ответственность без предоставления конкретных инструкций, актуальных знаний по проблематике, описания лучших практик и проведения обучения в части контроля рисков утечки не только для руководителей, но и для персонала. Более того, ответственность за утечки должна распространяться на всех задействованных сотрудников и быть регламентирована на уровне компании. Также, по его мнению, было бы ошибкой возлагать всю ответственность на руководителей: "Ответственность за риск утечки данных обычно возлагается исключительно на руководителей. Однако руководители не всегда осведомлены о рисках и порой не способны своевременно принять решение об изменении какого-либо процесса. Способность принимать обоснованные решения открывается перед руководителями только в том случае, когда у них есть инструментарий для мониторинга не только ИБ, но и ИТ, ЭДО процессов внутри компании. Подобные системы типа SOAR (Security Orchestration, Automation and Response) и SGRC (Security Governance, Risk Management and Compliance) давно присутствуют в портфолио отечественных производителей, и мы активно их внедряем у заказчиков".
Директор по маркетингу и коммуникациям цифровой платформы по организации командировок и управлению расходами "Ракета" Дарья Зубрицкая считает, что ужесточение ответственности переломит тенденцию увеличения количества утечек персональных данных: "Сейчас, к сожалению, даже крупные компании иногда не задумываются о своей безопасности, потому что проще заплатить небольшой штраф, нежели реализовывать систему защиты. Можно рассмотреть пример банковского сектора. Когда ЦБ ужесточил ответственность и контроль за обеспечением банками информационной безопасности, последние начали более строго относиться к этому вопросу. Для многих компаний институт репутации отсутствует или слишком слабо развит, поэтому единственный путь, который сможет решить проблему защиты информации в бизнесе, - это метод ужесточения ответственности. И только когда бизнес будет понимать, что на штраф придется затратить больше средств, чем на внедрение системы защиты, станет очевидна необходимость вложения средств в обеспечение информационной безопасности в компании".
Яков Шпунт