В Госдуме прошло заседание круглого стола комитета по информационной политике. Общей темой обсуждения было развитие законодательного регулирования в области ИБ, а конкретным предметом разговора — вопрос о штрафах за утечки данных.
- Введение
- Позиция ИБ-компаний
- Позиция бизнеса
- Позиция регулятора
- А если придёт кибервойна?
- Кого считать виновным
- Нужен системный подход, а не лоскутное решение
- Совфед одобрил поправки о штрафах
- Выводы
Введение
Первый день парламентской «недели кибербезопасности», которая проходила 25–27 ноября в Государственной Думе РФ, был посвящён дискуссии на тему выбора адекватных законодательных мер для противодействия незаконному обороту персональных данных. Как и ожидалось, участники высказали противоположные точки зрения в отношении того, нужно ли усиливать наказания за утечки данных.
За ужесточение наказаний выступали представители тех компаний, на которые возлагается задача по практическому противодействию утечкам. Противоположную позицию занимают представители коммерческих и государственных предприятий, которых ждёт наложение повышенных штрафных санкций в случае выявления у них утечек. Они ратуют за снижение размера штрафов, объясняя это неготовностью к быстрой реализации мер противодействия, а также отсутствием денежных средств на выплату штрафов в уже свёрстанном на будущий год бюджете.
Третья сторона — это парламентарии, разработчики законопроекта. Они занимают промежуточную позицию и хотят услышать аргументацию двух других сторон.
Рисунок 1. Круглый стол комитета по информационной политике в Госдуме
Позиция ИБ-компаний
Позицию ИБ-компаний, занимающихся противодействием утечкам, выразил Сергей Шерстобитов, генеральный директор Angara Security. Высказывая своё отношение к законопроекту об оборотных штрафах, он заявил: «Основная цель этого законопроекта — не пополнение бюджета РФ, а создание предпосылок и условий для более энергичного развития ИБ как индустрии и как системы в государственном масштабе».
Сергей Шерстобитов отметил, что система пронизывает не только крупные компании, она затрагивает также средний и малый бизнес. Но чем мельче бизнес, тем меньше внимания он уделяет вопросам безопасности. Это категорически неправильно, потому что рынок не ограничивается только крупным бизнесом. Он охватывает компании всех уровней, поэтому подходы к ИБ должны быть равноценными везде.
«По моему личному опыту, — отметил Сергей Шерстобитов, — один из главных факторов, который может сподвигнуть бизнес на изменение отношения <к ИБ>, — это внедрение системы штрафов. В первую очередь важен не столько размер штрафов (хотя он тоже имеет значение), сколько их неотвратимость».
Если правила будут понятными и прозрачными для всех участников рынка, то шансы переломить ситуацию в сфере ИБ к лучшему будут выше.
Позиция бизнеса
Алексей Волков, вице-президент по ИБ в компании «Билайн», придерживается иного подхода к оценке ситуации. Он считает, что к развитию ИБ внутри компаний и повышению их защищённости от утечек следует подходить прежде всего прагматично. Данные — это «новая нефть», поэтому неосторожное обращение с ними может приводить к большим неприятностям. Проблематику защиты данных необходимо рассматривать с трёх сторон: с позиций 1) граждан, 2) государства и 3) бизнеса.
Если детализировать этот подход, то, как считает Алексей Волков, опираясь на публичные оценки масштаба ранее произошедших утечек, «на сегодняшний момент в открытом доступе про <каждого> человека известно всё: реквизиты, документы, телефонные адреса и многое другое».
В этих условиях утечки данных нацелены в первую очередь не на получение уникальной информации о человеке (о нём уже и так всё известно). «Сейчас стоит задача нанести имиджевый и репутационный ущерб Российской Федерации и её гражданам. На это тратятся огромные деньги».
По мнению Алексея Волкова, «инциденты, которые происходили с момента начала СВО, показывают, что даже у крупных компаний, <тратящих значительные средства на развитие собственной системы ИБ>, случаются неприятности. Даже если компания потратит 100 % своего бюджета на ИБ, у тех, кто атакует, бюджет всё равно больше».
Иными словами, даже если сейчас будут выделены средства для реализации мероприятий по обеспечению безопасности, чтобы избежать оборотных штрафов, их результаты появятся отнюдь не мгновенно. «Безопасность нельзя купить, безопасность нельзя построить, её можно только взрастить. Нужно менять организационную культуру. Но это требует больше времени, чем один год».
Более того, отметил Алексей Волков, «у всех компаний бюджет уже сформирован. Если с 1 января вступят в силу оборотные штрафы, достать дополнительные деньги будет непросто. Скорее всего, <фактически> компании будут готовы <к новым правилам> только в 2026 году».
Стоит добавить, что эффективность предлагаемых в законопроекте мер по введению оборотных штрафов ещё не подтверждена. Принятие этого законопроекта может нанести вред развитию бизнеса. В случае выявления инцидента государство будет изымать финансовые средства, которые компания планировала потратить на своё развитие.
«Как гражданин я поддерживаю закон об усилении ответственности, но как представитель компании — мы не готовы к этому… В условиях нестабильности и напряжённости целесообразно рассмотреть возможность отложить внедрение новых норм или ввести экспериментальный правовой режим для оценки их эффективности», — подытожил Алексей Волков.
Позиция регулятора
Позицию регулятора отстаивал Виталий Лютиков, первый заместитель директора ФСТЭК России. Он отметил, что регулятор склоняется к позиции ИБ-компаний, занимающихся защитой от утечек. По его мнению, более серьёзное отношение к ИБ может быть достигнуто только за счёт повышения материальной ответственности.
«В основе любой ИБ лежит вопрос экономической целесообразности. Нет необходимости строить эффективную систему защиты, если последствия нарушения конфиденциальности персональных данных — это небольшой штраф или увольнение рядового сотрудника. Такие последствия не приведут к эффективной системе защиты».
Но почему регулятор настаивает на ужесточении фискальной политики?
«С конца 2023 года, — отметил Виталий Лютиков, — мы получили полномочия по анализу состояния защиты информации и начали применять в 2024 году новую методику оценки. Она была применена к более чем 100 организациям. Результаты оценки таковы. Базовый уровень безопасности обеспечен только в 10 % организаций. В 39 % компаний состояние безопасности и защиты информации характеризуется как низкое. У 51 % компаний состояние ИБ можно оценить как катастрофическое. Всё, что сегодня происходит по части утечек, — это из-за недостаточной эффективности принимаемых мер наказания».
В таких условиях регулятор намерен придерживаться жёсткой позиции и заставить компании находить финансовые ресурсы на развитие ИБ, а не откладывать это «на следующий год». ФСТЭК России поддерживает принятие законопроекта и считает, что повышение взысканий и введение оборотных штрафов должны привести к отказу от формального выполнения требований по безопасности.
А если придёт кибервойна?
В выступлении Виталия Лютикова прозвучал также следующий тезис: «Обращу внимание, что <до сих пор> не было сверхтяжёлых атак на <российскую> инфраструктуру». Что имел в виду представитель регулятора?
Атаки хактивистов образца 2022 года не идут ни в какое сравнение с возможными атаками кибервойск. Имеются сведения, что в ряде стран кибервойска активно развиваются как минимум с начала 2010-х гг. Совсем скоро они могут начать отрабатывать свои навыки — хотя бы для оправдания вложенных в них денег. Ситуация, когда состояние ИБ у 51 % предприятий находится на катастрофически низком уровне, очень заманчива для нападающей стороны.
«Если специалист по ИБ заявляет об отсутствии готовности, то это означает, что он не знает, что происходит в его инфраструктуре, и не уверен в эффективности <своей службы>». Поэтому регулятор намерен ужесточать меры, чтобы заставить компании более серьёзно относиться к своей безопасности.
В то же время Виталий Лютиков сразу же называет главные причины «катастрофического» состояния ИБ. Это — «слабые пароли, использование уязвимого кода, отсутствие мер при работе с подрядчиком (имеются в виду атаки на цепочки поставок. — Прим. авт.)». Он отмечает, что повышение штрафов нацелено не на «фискальное изъятие финансовых средств у компаний», а на борьбу с пренебрежительным отношением к упущениям в организации системы ИБ. По сути, регулятор указывает на то, что его текущая задача — исправить ситуацию малой кровью.
«Непринятие этих мер стало основным фактором, приводящим к соответствующим утечкам», — резюмирует свою позицию Виталий Лютиков. Главная проблема — отсутствие мониторинга и реагирования. Иначе говоря, внедрение средств ИБ — это сейчас не первоочередная задача для компаний. Им достаточно просто навести у себя порядок в отношении борьбы с угрозами.
Кого считать виновным
Ужесточение штрафов, бесспорно, ляжет бременем на компании. Но давайте взглянем на ситуацию со стороны злоумышленников. Представляет ли для них кража данных сейчас особую ценность, когда значительная часть информации уже доступна публично? Может ли усиление штрафов создать новые риски — например, дезорганизации работы российских компаний путём фальсификации утечек из них?
Какие сейчас есть средства для подтверждения реальности кражи данных? Данные — это не «физический слепок», по которому можно определить источник его происхождения. Слитые данные — это, как правило, информация полученная через SQL-запросы. Зная примерный набор ПДн, с которыми работает компания, можно легко сфальсифицировать утечку, собрав базу из ранее ставших доступными публичных данных. Ведь задача злоумышленников — не украсть, а продать эту информацию.
Рассмотрим для примера, как сейчас в Москве ведётся борьба с наркокурьерами, которые делают «закладки» в жилых домах. Как показывает практика, закладчики и курьеры беспрепятственно проникают внутрь зданий, используя коды для замков и домофонов. Ответственными за хранение этих данных являются жилищно-эксплуатационные конторы. Они допустили утечку и подлежат наказанию? Что мешает злоумышленникам развернуть атаку против эксплуатационных служб города, выложив доступные данные в даркнет и объявив их утечкой из ДИТ Москвы?
По слухам, данные о кодах дверных замков стали публичными в результате утечек данных из служб доставки. Их курьеры получали информацию о кодах от жителей, предоставлявших эти данные добровольно. Кого будет наказывать регулятор повышенными штрафами? Он будет опираться на заявления тех, кто выкладывает и продаёт эти украденные данные через даркнет?
Говоря об эффективности штрафов, Алексей Волков, видимо, имел в виду тщательную проработку всей системы борьбы с утечками. Вводимые штрафы должны не только способствовать повышению безопасности компаний, но и не мешать их практической деятельности.
Нужен системный подход, а не лоскутное решение
Данные, в отличие от материальных активов, не только могут легко переноситься из одного источника в другой, но и лишены явных признаков владения ими. Если данные утекли из компании Х, то является ли она виновником утечки?
Формально, данные могли быть получены из её инфраструктуры. Но утечка могла произойти, например, по причине наличия уязвимости в ПО, для которого вендор ещё не успел выпустить обновление. Сразу возникает вопрос: кто же фактически ответственен за утечку? Наказание в адрес службы ИБ, которая не имела соответствующих средств, чтобы воспрепятствовать утечке, выглядит не в пользу развития системы безопасности.
Виталий Лютиков отметил, что знает о существовании этой проблемы. Поэтому «следующим шагом совершенствования законодательства и нормативной правовой базы станет вопрос о разделении ответственности. Это касается вендоров (в случае если утечка произошла из-за непропатченной ими уязвимости), а также интеграторов или центра мониторинга, если он не отреагировал на событие по безопасности должным образом».
Для получения ответа на эти вопросы должна существовать законодательно закреплённая процедура регистрации инцидента, его документирования и выявления обстоятельств происшествия. Но существует ли она уже сейчас и доступна ли везде, чтобы внедряемая система не привела к наказанию невиновных?
Совфед одобрил поправки о штрафах
26 ноября Совет Федерации одобрил законопроект, который кратно увеличивает административную ответственность за утечку персональных данных, а также вводит в отдельных случаях уголовную ответственность.
Рисунок 2. Совет Федерации РФ
Размер штрафа будет напрямую зависеть от объёма утечки. Для юридических лиц он составит от 5 до 15 млн рублей. При повторной утечке персональных данных компании придётся заплатить уже оборотный штраф в размере от 1 до 3 % от её прошлогоднего оборота.
Оборотные штрафы при повторной утечке биометрических данных могут составлять от 25 млн до 500 млн рублей.
Уголовное наказание может быть применено к лицам за незаконное хранение, сбор, передачу персональных данных, полученных нелегальным путём. Согласно законопроекту, это наказание может составлять до 10 лет лишения свободы.
Для принятия законопроекта осталось только поставить на нём подпись президента РФ.
Отметим: при обсуждении на круглом столе было заявлено, что цель законопроекта состоит не в том, чтобы наказывать. Он нацелен на то, чтобы сформировать чувство высокой ответственности при работе с персональными данными.
Выводы
Как показала дискуссия, в вопросе о наказаниях за утечки данных до сих пор остаются «белые пятна», хотя внедрение новых законодательных мер уже совсем близко. Ясно только то, что компании должны уделять безопасности больше внимания. Но станет ли хорошим стимулом их наказание и в каком размере их следует наказывать — пока все участники не пришли к единому ответу.