Законопроекты об оборотных штрафах за утечки персональных данных (ПДн) граждан, а также об уголовной ответственности за их кражу и создание сайтов и других каналов их распространения официально внесены в Государственную Думу. Однако большинство игроков рынка ИБ считают, что откладывать вступление в силу законопроектов не следует, как и вводить дополнительно к штрафам уголовную ответственность.
Это третья часть аналитического материала. С первыми двумя можно ознакомиться по ссылкам — «Законопроект об оборотных штрафах и непоправимый удар по компаниям. Часть 1» и «Законопроект об оборотных штрафах и непоправимый удар по компаниям. Часть 2».
Повышенные штрафы, без сомнения, являются суровым наказанием для бизнеса. Но, по всей видимости, они окажут на компании хорошее влияние, ведь зачастую владельцы бизнеса, преимущественно малого и среднего, начинают обсуждение защиты ПДн с вопросов «а что будет, если я не выполню требования 152-ФЗ» и «какая ответственность последует за нарушения». Затем, оценивая вероятность проверок регулятором, выстраивая картину последствий и понимая размеры штрафов, они принимают соответствующие решения через призму таких рисков и вероятности их наступления.
Риски повышенных штрафов
Игорь Ашманов, известный эксперт по информационной безопасности, высказывает опасение, что бизнес, все-таки, может попросту может отнести оборотные штрафы к рисков в своих планах. Однако ИБ-компании придерживаются различного мнения по этому поводу. Алексей Парфентьев, к примеру, уверен в полностью обратной ситуации.
«Это сейчас потенциальный штраф за утечку проще заложить в риск, чем вкладываться в защиту – дешевле выйдет», — поясняет Алексей Парфентьев.
Анастасия Успенская также считает, что, из-за размера штрафов, коммерческим компаниям сейчас выгоднее станет выполнять требования законодательства, чем относить штрафы к числу рисков. Татьяна Никонорова отмечает, что теперь штрафы соразмерны стоимости системы защиты персональных данных.
«Вероятность отнесения штрафов к рискам существует, но это будет разумно исключительно для крупных компаний. Они обязательно включат штраф в число рисков. Но, в то же время, признание данного риска является дополнительной мотивацией компании к усилению защиты персональных данных и его закрытию», — заявляет Татьяна Никонорова.
Александр Барышников считает ощутимые штрафы, которые зависят от оборота компании, «самой правильной мерой». По его словам, их целесообразность сегодня уже продемонстрировал Общий регламент ЕС по защите персональных данных.
«Мы уже много лет смотрим на GDPR. Европейская практика показывает, что пока это самый действенный способ. Несоблюдение GDPR может повлечь штраф в размере от 10 до 20 млн евро в зависимости от статьи GDPR. Если оборот компании больше полумиллиарда евро, то максимальный штраф считается в процентах от мирового оборота за прошлый год: от 2% до 4%», — рассказывает Александр Барышников.
С ним солидарен Дмитрий Лебедев. По его словам, общемировая практика показывает, что штрафы позволяют добиться выполнения законодательных требований от тех, кто раньше решал заплатить небольшую сумму вместо того, чтобы «корпеть» над построением системы безопасности.
Ирина Пантина, директор департамент по работе с госсектором, Positive Technologies, не исключает вероятность отнесения штрафов к рискам.
«Зачастую компании рассуждают исключительно в терминах затрат. Сколько стоит тот или иной сценарий. Если штрафы и иные регуляторные издержки относительно низки, то их просто закладывают в соответствующий сценарий. В таком случае сценарий, направленный на развитие механизмов ИБ приоритизируется ниже и финансируется хуже», — поясняет Ирина Пантина.
Дмитрий Овчинников отмечает, что отнесение штрафов к рискам — «не вероятность, а данность».
«С самого начала действия законов по защите ПДн, одним из выходов для компаний была уплата штрафов. Если штраф кратно ниже системы защиты ПДн, то чисто по финансовым соображениям проще заплатить штраф, чем создавать систему защиты. Ничего личного – чисто бизнес. Утечки бывают редко, а систему надо оплачивать каждый год. Кроме того, а вы докажите, что была утечка и что пользователю нанесен ущерб? Где методика его расчёта?» — поясняет Дмитрий Овчинников.
Руслан Добрынин считает, что компании отнесут риски к штрафам «в любом случае, поскольку никакие специализированные решения не дают полной гарантии». Многое в этой ситуации, по его словам, также зависит от квалификации кадров, реализующих в организации меры по защите от утечек.
В свою очередь, Александр Барышников говорит, что повышенные штрафы отнесут к рискам, «наверное, компании с малым оборотом». По его словам, для них покупка дорогостоящего оборудования будет действительно дороже оплаты штрафа.
«Отдельные компании пойдут именно этим путем. Наем специалистов по защите информации, приобретение и сопровождение средств защиты для них будет нецелесообразным. Зачастую таким компаниям не важны репутационные риски», — отмечает Александр Буравцов.
Еще один риск, по мнению деловых объединений, заключается в остановке работы ряда компаний по причине чрезмерно высоких для них штрафов. Решением этой проблемы Александр Парфентьев видит прекращение сбора ПДн организациями, не способными обеспечивать безопасность их обработки.
«Компании, не способные обеспечивать пожарную безопасность, безопасное строительство, медицинские услуги, перевозки, выполнять экологические нормы точно так же не должны этими направлениями деятельности заниматься, потому что это наносит вред гражданам», — отмечает Алексей Парфентьев.
При этом он обращает внимание, что по факту ряд компаний сегодня собирает ПДН несмотря на то, что их бизнес-процессы этого не требуют.
«Карты клиентов, программы лояльности, мобильные приложения магазинов, личные кабинеты клиентов - все это можно реализовать без ПДн, используя другие уникальные идентификаторы, но бизнес сейчас просто не хочет этим заниматься», — заявляет Алексей Парфентьев.
Дмитрий Овчинников считает, что размер штрафа за утечку должен превышать стоимость создания системы защиты информации, но не убивать бизнес.
«Если компании получат большой штраф, который не смогут выплатить или чисто гипотетически руководство компании придет к выводу о том, что такая ситуация возможна, то организация может или закрыться, или усложнить работу с персональными данными, переведя их в бумагу. Запредельные штрафы подтолкнут к тому, что компании будут регистрироваться на дропперов. Крупные игроки будут скрывать утечки, используя административные рычаги. Мелкие игроки будут просто растворяться на бизнес-карте России», — поясняет Дмитрий Овчинников.
В то же время он замечает, что крупным игрокам, от утечек которых в основном и страдают пользователи, заплатить первый штраф — «это как слону дробинка».
«Второй штраф уже не приятен, но опять же раз в год заплатить 500 миллионов рублей. Достаточно погуглить выручку и прибыль, например, крупных банков, чтобы понять, что такой штраф будет не заметен», — отмечает Дмитрий Овчинников.
По словам Руслана Добрынина, организации, обрабатывающие ПДн в крупном масштабе, вряд ли прекратят работу в результате оборотных штрафов.
«Повторюсь, необходимо ввести жесткое регулирование деятельности операторов ПДн. Правила игры должен определять именно регулятор. В их создании может помочь экспертное сообщество - специалисты по ИБ, вендоры специализированных классов решений. Кроме того, по нашему мнению, оператор ПДн, не принявший все меры по их защите, вообще не имеет права на существование в правовом поле», - заявляет Руслан Добрынин.
Александр Буравцов считает, что оборотный штраф может привезти к частичной приостановке деятельности компании, возможно, даже к банкротству.
«Если ввести штрафы, то это точно может привести к остановке хозяйственной деятельности ряда компаний. Наказывать компании, если они не приняли меры по обеспечению ИБ на данный момент нет смысла, потому что нет точного понятия алгоритма действий организации при возникновении проблем взлома ПДн. Уполномоченный орган должен оценивать предпринятые компанией меры. Рекомендации по обеспечению ИБ на данный момент предстоит разработать почти «с нуля», — отмечает начальник отдела кадров ИТ-компании «Аурига» Елена Козякина.
Василиса Скидан обращает внимание на то, что ряд компаний может перестать расти в результате повышенных штрафов. По ее мнению, они будут бояться выйти за порог установленных объемов данных.
«Как правило, утечки не поддаются контролю в части объема информации. Бывает, что злоумышленник получил доступ ко всей базе данных организации и, независимо от того, сколько в ней было информации, получил к ней несанкционированный доступ. Рассуждения о "масштабируемости" утечек можно рассматривать, но в контексте сегментирования внутренних инфраструктур компаний, в противном случае, у организаций уменьшится мотивация развиваться. Они не будут, к примеру, привлекать большее количество клиентов только ради того, чтобы "не вылезать за рамки" установленных объемов обрабатываемых данных», — поясняет Василиса Скидан.
По ее словам, воздействовать на это можно установлением дополнительных требований регуляторами. В частности, они должны предусматривать обязательную сегментацию сети. В рамках таких требований, по мнению Василисы Скидан, уже можно будет «подумать о количественных показателях».
Михаил Сергеев, ведущий инженер CorpSoft24, считает, что, вероятно, оборотные штрафы приведут к выводу компаниями специалистов по безопасности за штат (аутстаффинг). При получении штрафа они будут просто банкротить компанию, которая занимается безопасностью, ведь именно она будет виновата в утечке данных.
Уголовная ответственность
В октябре этого года крупнейшие деловые объединения России — Российский Союз Промышленников и Предпринимателей (РСПП), «Деловая Россия», «Опора России» и Торгово-промышленная палата (ТПП) направили председателю Госдумы Вячеславу Володину письмо с предложениями по его доработке.
Предприниматели, в частности, озвучили в нем идею дополнить штрафы мерами уголовной ответственности в отношении компаний, которые подошли к верхней границе административного наказания. Некоторые респонденты опроса, проведенного главой Госдумы после получения письма, предлагали ввести в дополнение к штрафам уголовную ответственность с конфискацией имущества
В свою очередь Игорь Ашманов заявлял СМИ, что в рамках административных дел нельзя проводить оперативно-разыскную деятельность, делать выемку корпоративной почты, мессенджеров и логов доступа. По его мнению, из-за этого реальный источник утечки определить не представляется возможным. Однако Дмитрий Овчинников с ним не согласен.
«Отследить утечку можно, просто на расследование всех утечек нет достаточного количества специалистов в МВД, судах и компаниях. Найти конкретного виновника очень часто не получается. Виновата компания. Вся скопом, а не отдельный человек. Виновата система управления компании, система работы администраторов, безопасников. А не конкретный директор или системный администратор», — поясняет Дмитрий Овчинников.
Эксперты F.A.C.C.T. отмечают, что установить реальный источник утечки можно даже в рамках внутренней служебной проверки.
«Если в компаниях установлены системы защиты от сложных киберугроз, защиты корпоративной почты, DLP, они регулярно получают данные от вендоров Threat Intelligence и внутри работают SOC или CDC центры, проведены аудиты и сотрудники прошли обучение по цифровой гигиене, утечки можно не только успешно расследовать, но и на 99% предотвратить», - заявляют в F.A.C.C.T.
К идее введения для компаний самых жестких наказаний за утечки Дмитрий Овчинников относится очень скептично.
«Можно даже расстрелять руководство компании и администратора информационной безопасности. После приведения единичного подобного приговора в силу, компании просто перестанут обрабатывать ПД и переведут все обратно в бумагу. Бумагу сложат в сейф в подвале и посадят охранников. Это вряд ли приведет нас к прогрессу. Так что штрафы сегодня – это, пожалуй, самый логичный и простой способ мотивировать компании защищать данные пользователей», — заявляет Дмитрий Овчинников.
Александр Барышников полностью против введения уголовной ответственности для компаний.
«Здесь необходимо понимать, на кого, все-таки, ее распространять. Кого привлекать? Не хочется, чтобы у нас страдали невинные люди, чтобы на кого-то умышленно перекладывали ответственность. Давайте остановимся на административных штрафах. По поводу осуществления выемки корпоративной почты и логов. Сейчас практика такова, что в случае утечки Роскомнадзор запрашивает у оператора персональных данных информацию о том, как она была допущена. Операторы идут навстречу и сами все рассказывают», — говорит Александр Барышников.
Василиса Скидан также не поддерживает введение уголовной ответственности и замечает что, если она будет установлена, то нести ее будет конкретное физическое лицо. Любая же инфраструктура ИБ, по ее словам, включает в себя множество вовлеченных подразделений. Кроме того, она уверена, что это наказание повлечет за собой сложности в подборе кадров, ведь требования к заработной плате и условиям со стороны кандидатов на должности в подразделениях ИБ существенно возрастут.
«Тенденция к установлению персональной ответственности, рассматриваемая для следующих этапов, улучшения ситуации с утечками пока видится слишком кардинальной в текущих условиях всеобщей незащищенности персональных данных», - говорит Татьяна Никонорова.
Однако Дмитрий Лебедев считает, что уголовная ответственность может выступить для компаний дополнительным стимулом исполнять требования законопроекта. В то же время, пока неясно, кто именно будет оценивать степень виновности отдельных лиц и всей компании в целом. Эксперты F.A.C.C.T. считают, что вводить уголовную ответственность целесообразно как крайнюю меру, если штрафы не убедили компанию вложиться в ИБ или отказаться от обработки ПДн.
Отсрочка вступления в силу
Помимо корректировок содержания законопроекта, деловые объединения предлагали отложить его вступление в силу до января 2026 года для того, чтобы у компаний появилась возможность подготовиться к новым требованиям, повысить уровень информационной безопасности и принять все необходимые меры для защиты от утечек ПДн.
Однако Ирина Пантина считает, что данная отсрочка ни к чему, кроме задержки исполнения законопроекта, не приведет. По ее мнению, целесообразно выделить категории компаний, например, разбить их по отраслям, и для разных категорий с интервалом в полгода вводить нововведения.
Обращает на себя внимание также то, что, по мнению деловых объединений, в ближайшие годы в результате нововведений ИБ-компании не справятся с повышенным спросом, в частности - из-за дефицита кадров в сфере информационной безопасности. Алексей Парфентьев отмечает, что в предоставлении ИБ-услуг действительно возникнут сложности и одной из причин этого станет нехватка специалистов.
«Если говорить про отечественные защитные ИБ-решения и продукты, их достаточно. Даже такая узкая сфера как производство систем предотвращения утечек (DLP) только в России представлена десятком различных решений, причем решений зрелых и разнородных, под разный бюджет и разные задачи», — отмечает Алексей Парфентьев.
По словам Дмитрия Лебедева, никаких проблем с повышенным спросом на поставки средств защиты информации сейчас не предвидится.
«Тут стоит отметить, что большинство компаний, на самом деле, уже либо внедряют ИБ-проекты российских вендоров, либо готовы приступить к их реализации, поэтому основная часть организаций успеет к нужному сроку», — заключает Дмитрий Лебедев.
Павел Новожилов обращает внимание на то, что 152-й закон существует уже давно и со стороны ФСТЭК и ФСБ также разработаны соответствующие меры. Организации, в свою очередь, должны определять свои актуальные угрозы, поэтому требования по защите не являются для них чем-то новым.
«Как показывает наша практика, многие организации уже давно занимаются данными вопросами, а также постоянно модернизируют и совершенствуют свою систему защиты», — рассказывает Павел Новожилов.
«Большинство компаний реализовали свои проекты по защите ПДн в 2012-2017 годах и их уровень зрелости высок. Работы по актуализации изменений, безусловно, потребуются, но это не создаст принципиального скачка спроса», — заявляет Алексей Полетаев.
На взгляд Татьяны Никоноровой, вступление в силу законопроекта может быть отложено с целью дать компаниям последний шанс усилить систему защиту персональных данных. Но срок в 2 года, по ее мнению, является слишком большим, так как бизнесу будет достаточно 6-12 месяцев. Алексей Полетаев добавляет, что законопроект необходимо тщательно и комплексно доработать, апробировать на пилотной группе и уже после этого выпускать.
Комплекс
Совершенно очевидно, что резкое увеличение штрафов приведет к должному эффекту только в том случае, если бизнес оперативно начнет усиливать защиту.
По мнению Алексея Парфентьева, в рамках этого процесса бизнес, в частности, должен проводить аудит, "позволяющий воспроизвести ситуацию". Причем это, по его словам, это уже предполагают последние правки в ФЗ 152. Операторы должны по итогам аудита предоставлять отчеты об утечках в течении суток, а результаты расследования ее причин, масштабов и потенциального вреда - в течении трех.
Эксперты F.A.C.C.T. также указывают на необходимость аудита. Кроме того, для максимальной защиты данных, по их мнению, бизнесу следует внедрять решения, которые в режиме реального времени оперативно анализируют риски ИБ. Например, определяют, выложены ли данные о компании на теневых ресурсах, есть ли открытые порты, уязвимости и другие проблемы.
«Естественно, это невозможно выполнить без технических средств на местах, фиксирующих все обращения к данным, их перемещение внутри и за пределы компании оператора. То есть, требования по аудиту уже в законе есть (Пункт 8, Статья 19, ФЗ 152), но они в подавляющем большинстве случаев просто игнорируются как раз по причине мизерного наказания», — отмечает Алексей Парфентьев.
Руслан Добрынин считает, что крупные оборотные штрафы должно дополнять более тщательное регулирование деятельности операторов персональных данных.
«Необходимо, например, ввести ГОСТ и обязать операторов ПДн внедрять специальные средства для защиты от утечек, соответствующие этому ГОСТ», — поясняет Руслан Добрынин.
По словам Ирины Пантиной, дополнять повышенные штрафы должен регулярный контроль соблюдения требований по ИБ, ведь он также стимулирует бизнес им соответствовать.
