Законопроекты об оборотных штрафах за утечки персональных данных (ПДн) граждан, а также об уголовной ответственности за их кражу и создание сайтов и других каналов их распространения официально внесены в Госдуму. Бизнес по-прежнему не хочет публично высказывать свою позицию относительно документа.
- Предложения деловых объединений
- Оценка предпринятых мер защите ПДн
- Расследование утечек
- Финансовая компенсация гражданам за утечки
- Меры стимулирования инвестиций в средства защиты
- Предложения Сбера
Это вторая часть аналитического материала. С двумя другими можно ознакомиться по ссылкам — «Законопроект об оборотных штрафах и непоправимый удар по компаниям. Часть 1» и «Законопроект об оборотных штрафах и непоправимый удар по компаниям. Часть 3».
В ходе разработки законопроектов, ужесточающих ответственность бизнеса за утечки персональных данных пользователей, его представители большую часть времени не выносили вовне свои идеи по их доработке. Только в сентябре этого года СМИ удалось узнать о том, что Сбер обратился в Правительство с предложением изменить подход к наказанию за утечки ПДн.
В октябре СМИ рассказали про письмо крупнейших деловых объединений России - Российского Союза Промышленников и Предпринимателей (РСПП), "Деловой России", "Опоры России" и Торгово-промышленной палаты (ТПП) - председателю Госдумы Вячеславу Володину. Оно содержало предложения предпринимателей по его доработке, отсрочке вступления в силу до 2026 года и создании мер поддержки, которые стимулировали бы бизнес инвестировать в средства защиты. В ответ глава Госдумы запустил в Телеграмме-канале опрос об увеличении штрафов для компаний за повторную утечку ПДн граждан.
Предложения деловых объединений
В своем письме Вячеславу Володину деловые объединения, в частности, предлагали применять оборотные штрафы к компаниям только в том случае, если они не реализовали до утечки исчерпывающие меры по обеспечению ИБ. При этом они рекомендовали определять обстоятельства, при которых произошли утечки ПДн, и уже в зависимости от них устанавливать различный размер оборотных штрафов.
Смягчающие обстоятельства
Смягчающими обстоятельствами предприниматели предлагали считать финансовые компенсации компаний гражданам за утечки ПДн, добровольные сертификацию и ежегодный аудит соблюдения всех мер, необходимых для обеспечения ИБ, проводящийся ИБ-компаниями, аккредитованными Минцифры.
Кроме того, предприниматели предлагали относить к смягчающим обстоятельствам публичное признание компанией утечки, активное проведение ей расследования, помощь надзорным органам, выяснение в рамках расследования того, что утечка произошла не по причине нарушения требований ИБ.
Анастасия Успенская, эксперт отдела аудита Infosecurity a Softline company, не видит необходимости в выявлении обстоятельств, при которых произошла утечка и определении в зависимости от них размера штрафа.
"Считаю, что для субъектов ПДн нет разницы была атака осуществлена внутренним доверенным лицом (сотрудник слил базу) или внешним хакером. В том и в другом случае данные компании были скомпрометированы. Дополнительное определение обстоятельств произошедшей утечки и, возможно, подмена и скрытие каких-то фактов, только усложнят процесс получения компенсаций пострадавшими", - отмечает Анастасия Успенская.
По мнению экспертов F.A.C.C.T., выявлять обстоятельства, при которых ПДн попали в открытый доступ, и отталкиваться от них в ходе определения размера штрафов - "вполне здравая мысль, поскольку есть внешние и внутренние причины утечек и их можно "финансово рейтинговать". В то же время они обращают внимание на сложность оценки их масштаба и ущерба. В отдельных случаях, по их словам, масштаб утечки довольно сложно оценивать потому, что злоумышленники часто публикуют сборные базы данных, полученные из нескольких источников.
"Устанавливая одну штрафную планку, законодатель, вероятно, имел в виду, что в ситуации, при которой сотрудник оператора ПДн сливает злоумышленникам базы данных клиентов, и в случае с компрометацией инфраструктуры через RDP - причина одна - несоблюдение компанией требований информационной безопасности", - поясняют в F.A.C.C.T.
Алексей Морозков, руководитель группы Центра управления кибербезопасностью ICL Services, также считает логичным определять обстоятельства, при которых произошла утечка ПДн, и учитывать их при определении размера штрафа.
"Исходя из произошедших событий в мире, конечно же, существует категория предпринимателей, которые сознательно игнорируют требования 152-ФЗ, рассчитывая "на авось пронесёт" и в подобных случаях штрафные санкции должны быть выше и являться показательным примером", - заявляет Алексей Морозков.
Алексей Полетаев, директор по информационной безопасности компании "Диасофт", обращает внимание, что для качественных проверок обстоятельств каждого инцидента потребуются серьезные ресурсы и компетенции, и проверяющим может их не хватить.
Руслан Добрынин, эксперт Центра продуктов Dozor ГК "Солар", считает, что в перечень смягчающих обстоятельств, представленный деловыми объединениями, также следует включать наличие у оператора ПДн хорошо описанных регламентов обеспечения ИБ. По мнению Алексея Парфентьева, в число смягчающих обстоятельств должна войти просветительская работа среди сотрудников, использование специализированных технических инструментов, например, DLP, DCAP и SIEM, внимание к рекомендациям отдела информационной безопасности.
"Выстроенные процессы ИБ в организации, наличие технических средств защиты и подразделения, которое занимается вопросами защиты ПДн, могут быть важными смягчающими обстоятельствами. Такие меры демонстрируют, что компания серьезно относится к вопросам защиты данных и предпринимает активные шаги для предотвращения утечек. Но для их подтверждения необходимо участие третьей стороны, которая будет аккредитоваться по установленным правилам", - отмечает руководитель отдела аудита соответствия требованиям информационной безопасности, "Инфосистемы Джет" Павел Новожилов.
Ирина Пантина, директор департамента по работе с госсектором Positive Technologies, отмечает необходимость наличия внятной стратегии и подтверждения ее реализации у компаний с низкой зрелостью ИБ-процессов. Также к смягчающим обстоятельствам она относит практические мероприятия по независимой оценке защищенности и оценке практических навыков ИБ-команды.
Дифференциацию штрафов она считает допустимой при "хорошо проработанной и нормативно описанной процедуре".
"Возможная конструкция: в законе определяется уполномоченный орган (регулятор), которому вменяется определить смягчающие и отягчающие обстоятельства; детальные требования и критерии таких обстоятельств; процедуры, которые позволяют их устанавливать - расследования инцидентов; лица, допущенные к этой работе, чьи выводы принимаются контролирующими структурами. Они могут в том числе представлять не госорганы, а сторонние компании, например, лицензированные ФСТЭК на деятельность по технической защите информации", - поясняет Ирина Пантина.
По мнению Руслана Добрынина, дифференцировать наказание компании целесообразно, исходя из фактически принятых ей мер по защите данных от утечек. В случае выполнения всех предписаний регулятора по предотвращению утечек, содержащихся в специальном новом ГОСТе, он считает возможным кратно уменьшить размер штрафа.
Штрафы компаний, которые в принципе "забили" на безопасность, по словам Дмитрия Лебедева, должны отличаться от штрафов организаций, сделавших все возможное, чтобы защитить ИТ-инфраструктуру, но все равно столкнувшихся с мощной атакой.
"В большинстве случае взломы и утечки происходят как раз потому, что бизнес в принципе не уделяет внимание ИБ и не повышает собственную зрелость, проводя, например, тренинги для сотрудников. Учитывая количество и интенсивность атак на российские компании, это фактически преступная халатность", - заявляет Дмитрий Лебедев.
Алексей Парфентьев, руководитель отдела аналитики "СёрчИнформ", также считает, что смягчающим обстоятельством логично считать выполнение оператором всех мер для недопущения утечки.
Вместе с тем, Алексей Полетаев обращает внимание на то, что сейчас нет "четкого определения понятия "исчерпывающих мер". Он также отмечает, организация информационной безопасности – это процесс, в котором все постоянно меняется, и регулярно возникают обстоятельства, с которыми участники не сталкивались ранее.
"У организаций всегда есть риск столкнуться с масштабными угрозами, не предусмотренными их моделями угроз, даже если они разработаны на самом высоком уровне. Это как со здоровьем: никто не застрахован от заболеваний, несмотря на любые профилактические меры. Вопрос – виновата ли будет такая организация? Я считаю, в подобных ситуациях задача государства – вмешаться и помочь таким компаниям, а не накладывать дополнительные обременения", - заявляет Алексей Полетаев.
По мнению Алексея Полетаева, помимо смягчающих обстоятельств, нужно учитывать, была ли у компании возможность избежать инцидент и то, ценой чего она могла это сделать.
"Не будем забывать, что большинство крупных утечек происходит изнутри, из-за действий сотрудников компаний, в том числе умышленных. Возможно, в ряде случаев стоит предусмотреть личную ответственность таких сотрудников - отмечает Алексей Полетаев.
Дмитрий Овчинников, главный специалист отдела комплексных систем защиты информации компании "Газинформсервис", не видит смысла определять смягчающие обстоятельства и считает целесообразным отталкиваться только от того, произошла утечка или нет. Александр Барышников, директор департамента консалтинга и аудита компании "Информзащита", также не разделяет эту идею.
"Не нужно придумывать смягчающие обстоятельства для того, чтобы подложить подушку для какой-то компании. Я думаю, что такими фиктивными способами операторы больших данных хотят защитить себя, условно купив аудит за миллион рублей. Перед законом все должны быть едины: допустил утечку, суд рассматривает и назначает тебе штраф, который зависит от твоего годового оборота", - говорит Александр Барышников
Отягчающим обстоятельством, по словам Алексея Парфентьева, следует считать отсутствие действий, необходимых для обеспечения безопасности и проявление полной халатности.
"Есть смысл в установлении более детальной градации штрафов, в зависимости не только от объема утечки. При этом использование степени вреда, наносимого субъекту персональных данных, не самый лучший вариант, поскольку на основе установленных требований к их оценке не является возможным оценить фактический ущерб субъекту", - отмечает ведущий консультант по информационной безопасности Innostage Татьяна Никонорова.
Оценка предпринятых мер защите ПДн
Оценку предпринятых компанией мер по защите ПДн, по мнению деловых объединений, должен будет давать уполномоченный орган на основе перечня рекомендаций по обеспечению ИБ, который еще предстоит разработать.
Александр Буравцов, директор по безопасности "МойОфис", считает, что оценку выполнения требований по защите ПДн должны проводить Роскомнадзор и Минцифры. При этом регулирующие органы - ЦБ, ФСТЭК, ФСБ и т.д. - должны обеспечить выпуск рекомендаций в пределах своих полномочий.
Дмитрий Лебедев, ведущий эксперт отдела продвижения продуктов компании "Код безопасности", считает, что для оценки предпринятых мер по защите ПДн, необходимо создать "отдельную комиссию". В ее составе, на взгляд Алексея Морозкова, обязательно должны быть независимые представители уполномоченных органов и ответственные за ИБ сотрудники.
"Но тут стоит сказать, что разработка такой методики потребует серьезных дискуссий, определения критериев "исчерпываемости", как это все правильно измерять, какие исключения и т. д. - это очень серьезная кропотливая работа", - замечает Алексей Морозков.
По мнению Руслана Добрынина, механизмы расследования утечек и процедуры выяснения полноты реализованных мер по защите от них, следует разработать регуляторам в сотрудничестве с экспертным сообществом.
Расследование утечек
Отметим, что источник СМИ на рынке ИБ ранее указывал на неясность процесса расследования утечек, связанную с отсутствием в рамках КоАП процедуры проведения таких проверок, а также доказательства факта утечки, ее актуальности и т.д. Также он заявлял, что дело осложняет отсутствие у Минцифры и Роскомнадзора полномочий на это. Выходом из ситуации он видел перевод вопроса в уголовную плоскость, подразумевающего проведение расследования следователями в ходе судебного разбирательства. Однако, по мнению Алексея Полетаева, это только усложнит дело, так как суды будут длиться годами.
"Помимо отсутствия процедуры проведения таких проверок и соответствующих полномочий, следует обратить внимание на неготовность/неспособность к проведению внутренних расследований самих организаций. Это обусловлено тем, что локальные акты и регламенты значительно затрудняют сбор данных (в части технической реализации самого факта утечки) и дальнейшую передачу корректно составленных протоколов в соответствующие органы", - отмечает руководитель направления Центра компетенций по информационной безопасности Т1 Интеграция Валерий Степанов.
Татьяна Никонорова считает, что процесс расследования "безусловно необходимо уточнять" и определять ответственных за его проведение. По мнению Александра Буравцова, его можно "отрегулировать на уровне РКН и Минцифры.
Вместе с тем, Александр Парфентьев обращает внимание, что в полиции сегодня существует отдельное подразделение по вопросам киберпреступлений и по особо резонансным делам могут работать следователи следственного комитета.
"В целом, компания просто должна написать заявление в полицию и тогда дело об утечке перейдет в сферу уголовного права. Однако процедура проведения расследования утечки данных ясна неполностью. Кто этим будет заниматься, в рамках какого дела?", - говорит Дмитрий Овчинников.
Александр Парфентьев также обращает внимание на необходимость создания соответствующей методологии.
Учет масштабов утечек при определении размеров штрафов и "умышленной атаки"
Кроме того, деловые объединения в своем письме предлагали изменить подход к расчету штрафов, учитывая при этом масштабы утечки. В текущей версии законопроекта, по словам Алексея Морозкова, учитывается объем данных - сколько всего субъектов ПДн пострадало. Однако, по факту, состав утекших данных может быть как минимальным, так и очень чувствительным. Яркий пример последнего - состав информации, которая утекает из банков и медицинских учреждений. Штрафы, по его мнению, в частности, необходимо привязывать к потенциальному ущербу субъектов ПДн.
Кроме того, деловые объединения указывают в письме на необходимость нормативного закрепления понятия "умышленная информационная атака" и перекладывания ответственности в этом случае на злоумышленника, к примеру, на недобросовестного конкурента. Условием для ее переноса предприниматели предлагали сделать принятие компанией всех мер, необходимых для защиты инфраструктуры.
Говоря о данной идее, Татьяна Никонорова, обратила внимание, что в законодательстве "компьютерный инцидент, повлекший неправомерную передачу персональных данных", является частным случаем компьютерного инцидента. А такой инцидент всегда происходит в результате компьютерной атаки, то есть, целенаправленного воздействия.
Павел Новожилов считает, что при реализации данной идеи предпринимателей важно учитывать сложности и нюансы определения и доказательства умышленных атак. По его словам, необходимо, к примеру, разработать механизмы подтверждения выполнения компаниями мер по защите данных (сертификации от сторонних организаций), чтобы избежать неправомерного перекладывания ответственности. Алекей Полетаев разделяет идею деловых объединений, но отмечает, что "пока не ясно, можно ли будет найти и привлечь к ответственности взломщика, а также лиц, которые инициировали взлом".
Дмитрий Овчинников не видит смысла в идее деловых объединений.
"Уже есть целый ряд статей в уголовном и административном кодексах за неправомерный доступ к информации и разного рода хакерство. Репутационный ущерб - это такая вещь, которую тяжело оценить, а точнее доказать, что именно из-за действий группы определённых лиц был понесен ущерб. Также встает вопрос: кто будет доказывать, что это конкурент? Кто докажет, что та или иная группировка работала по требованиям конкурента? Все может свестись к тому, что оператором будет проще всего договориться с каким-то лжеконкурентом о том, что это якобы он заказал такую атаку. Давайте, все же, остановимся на хорошем примере для подражания – общем регламенте ЕС по защите персональных данных, GDPR", - говорит Дмитрий Овчинников.
Анастасия Успенская также не поддерживает данный замысел предпринимателей. По ее мнению, он приведет к бесконечному процессу определения того самого "злоумышленника", доказательств его вины и т.д. Компании будут рады найти крайнего и переложить на него вину для того, чтобы избежать штрафов, отмечает Анастасия Успенская. Но Василиса Скидан, консультант отдела консалтинга компании "Информзащита", думает иначе.
"Вероятно, следовало бы разделять случаи утечек информации, организованных изнутри компаний и извне. В первом случае возможно указать на несовершенство процессов подбора персонала в компании и в целом на недостатки работы с персоналом" - отмечает Василиса Скидан.
К недостаткам работы с персоналом она относит несвоевременное выявление мотивации работника, спровоцировавшего утечку, и отсутствие необходимых мер защиты данных в целом, например, качественной реализации системы управления доступом.
"Во втором случае прогнозирование возможных атак намного сложнее и, если организация не располагает дорогостоящими средствами и человеческим ресурсами для своевременного реагирования на такие атаки, успешность их исхода повышается, а воздействие - сложнее поддается контролю", - поясняет Василиса Скидан.
Учет объема чистой прибыли при определении размера повторных штрафов и количества повторов
Еще деловые объединения в письме рекомендовали рассчитывать размер повторных штрафов исходя из чистой прибыли компании, а не ее выручки. В случае отсутствия чистой прибыли они предлагали устанавливать фиксированный штраф. Однако, по мнению Дмитрия Овчинникова, привязка повторных штрафов к этому показателю приведет только к тому, что компании начнут его скрывать и перестанут показывать.
"Оборот компании – более "чистая" величина, от которой можно отталкиваться. А чистая прибыль в разные периоды может сильно отличаться. Поэтому оборотные штрафы должны быть привязаны именно к обороту", - заявляет Анастасия Успенская.
По мнению Александра Буравцова, вместо увеличения финансовой нагрузки на компанию, нужно предпринимать иные меры. Например, выносить решение о приостановке компанией обработки ПДн, отзывать действующие лицензии и сертификаты или лишать налоговых льгот для ИТ-компаний.
Кроме того, деловые объединения предлагали в письме определять размер повторного штрафа не путем диапазонного выбора, а на основании расчета по формуле, учитывающей число "повторных" утечек персональных данных и состав утекших ПДн. Однако Александр Парфентьев не считает схему, в которой учитывается количество "повторных" утечек, оптимальной.
"Повторное нарушение должно быть отягчающим обстоятельством, но в предложенном методе недостаточно гибкости, так как он не учитывает всех деталей каждого из нарушений, которые на деле могут существенно разниться", - поясняет Александр Парфентьев.
Дмитрий Овчинников считает, что этот метод приведет к роста штрафов в геометрической прогрессии. По его мнению, "в один прекрасный момент размер штрафа превысит выручку компании, и она просто станет банкротом". Рассчитывать примерный размер штрафа он предлагает на основе определенных параметров.
"Надо посчитать: а сколько утечек происходит в год, а какой от них ущерб гражданам, а сколько стоит не допустить утечку?", - поясняет Дмитрий Овчинников.
Александр Буравцов не считает схему расчета повторных штрафов, которую предлагают деловые объединения, эффективной и отмечает, что она нанесет непоправимый финансовый удар бизнесу.
Ирина Пантина отмечает, что в качестве стимулирующей меры ужесточение наказания за повторные утечки представляется разумным. Коэффициенты и размеры штрафов, по ее мнению, по мере накопления информации и практики могут быть скорректированы.
Определение случаев наступления ответственности за неуведомление/несвоевременное уведомление об утечке ПДн
В своем письме предпринимателями отмечали, что в условиях, когда количество субъектов может измеряться тысячами, операторы будут зачастую несвоевременно - с нарушением коротких сроков, установленных законодательством - уведомлять субъектов об утечках. В связи с этим они предлагали конкретизировать случаи наступления ответственности за неуведомление/несвоевременное уведомление об утечке ПДн.
Также деловые объединения рекомендовали уменьшить суммы штрафов, соизмеримо степени и размеру вреда, наносимого объекту персональных данных при неполучении им уведомления об утечке и категорировать суммы штрафов в зависимости от количества дней просрочки направления уведомления. Однако Александр Барышников считает, что проблемы несвоевременного уведомления сегодня нет.
"Большинство операторов собирают всю контактную информацию, необходимую для того, чтобы взаимодействовать с субъектом персональных данных, а случаев, когда вдруг нет контактных данных - таких единицы. И они, может быть, даже попадут под какое-то исключение в дальнейшем", - поясняет Александр Барышников.
Финансовая компенсация гражданам за утечки
Что касается финансовой компенсации гражданам компаниям за утечки ПДн, то летом 2023 года стало известно о том, что Минцифры обсуждает с рядом крупных ИТ-компаний возможность создания фонда материальной компенсации пострадавшим от утечек ПДн. Наполнять его планировалось средствами, полученными от уплаты оборотных штрафов компаниями, допустившими утечки.
По мнению Дмитрия Овчинникова, необходимо, чтобы данный фонд действовал также, как ОМС или ОСАГО. Александр Барышников полностью против создания такого фонда.
"Сама цель создания таких фондов и предусматривает, по сути, возможности для бизнеса откупится за утечки. Но идея по страхованию ответственности бизнеса за возможные утечки очень перспективная", - заявляет Александр Буравцов.
Относительно механизма финансовой компенсации бизнесом, созданного Минцифры, ИБ-компании придерживаются разного мнения. Он предполагает следующую последовательность действий. Сначала компания должна будет сообщить пользователю об утечке, прислать ему SMS/e-mail на номер/адрес, которые были указаны при регистрации. Если компания готова выплачивать компенсацию - это будет напрямую указано в тексте сообщения. Минцифры также разместит эту информацию на Госуслугах.
После этого у пользователя будет 15 рабочих дней, чтобы подать заявку на Госуслугах на возмещение причинённого ущерба. Компания в течение 20 рабочих дней после получения заявок рассчитает объём денежной выплаты и направит через Госуслуги свои предложение всем обратившимся. Пользователь сможет принять предложение или отказаться от него в течение 20 рабочих дней. Если более 80% обратившихся согласятся на компенсацию, то компания должна будет выплатить её в течение 5 рабочих дней.
По мнению Павла Новожилова, эффективность данной схемы будет зависеть от размера компенсации субъекту ПДн. В случае утечки достаточно большого количества записей субъектов, например, 100 тыс., сумма возможной компенсации может быть несопоставима с нанесенным субъекту ПДн вредом.
"Таким образом, оптимальной схемой финансового возмещения можно считать ту, которая учитывает не только затраты компании на компенсации, но и реальный ущерб, нанесенный субъектам ПДн, а также степень ответственности организации за утечку данных", - заключает Павел Новожилов.
Александр Барышников, директор департамента консалтинга и аудита компании "Информзащита", со схемой, представленной Минцифры, не согласен.
"Следует 80% опустить до 30%. Если уже есть 30% субъектов, которые считают себя пострадавшими, то да, необходимо выплачивать. Это, наверное, действенная практика. Потому что 80% - это такая цифра, которую операторы могут выполнить за счет, будем так называть, мертвых душ. Не набрали 80% - и все в шоколаде. Они реально понимают, что 80% даже с утечки на десятки миллионов субъектов не появится. Им это будет удобно. Если 25-30% субъектов ПДН, чьи персональные данные были распространены после утечки, считают, что необходимо получить компенсацию, то компания выплачивает ее", - поясняет Александр Барышников.
По его мнению, в таком случае в законопроекте должен появиться пункт, который предполагает соизмеримое уменьшение штрафа. Но при этом необходимо хорошо математически просчитать один сложный момент, чтобы операторы не стали пользоваться этими уловками.
"Сейчас же основное недовольство субъектов в том, что операторы могут начать платить огромные штрафы, но непонятно куда. Условно: я пострадал, а компенсацию получает государство. Но при этом не должно возникнуть ситуации, при которой оператор малыми суммами "откупается" от субъектов, тем самым снижая возможность штрафов в адрес государства", - отмечает Александр Барышников.
По мнению журналиста Antimalware, при реализации схемы финансовой компенсации, созданной Минцифры, будет сложно доказывать нанесение пользователю вреда. Сведение ее к типовому возмещению морального вреда, которое составляет 2-3 тысячи рублей, практически не имеет смысла, так как больше усилий будет потрачено на сопутствующую бюрократию.
Лучше сделать похитрее. В том случае, если в ходе расследования хищения доказано, что злоумышленники пользовались данными конкретной утечки ПДн, втягивать компанию в дело третьей стороной и вешать на нее солидарную ответственность. Без сроков давности.
Меры стимулирования инвестиций в средства защиты
Примечательно, что в своем письме деловые объединения также отмечали, что нормативная база, помимо повышенных штрафов, должна включать в себя меры поддержки, стимулирующие компании инвестировать в средства защиты. Но Александр Барышников не видит в этом смысла.
"Коллеги, закон о персональных данных был принят в 2006 году, вступил в силу в 2007 году. У нас прошло, по-моему, достаточно времени для того, чтобы рассмотреть применимый порядок обработки персональных данных у себя в компании, адаптировать его и совершенствовать. Но прежде всего разработать, конечно же, систему защиты персональных данных. Можно было всегда разобраться в процессах", - заявляет Александр Барышников.
Ирина Пантина считает, что принятия во внимание смягчающих обстоятельств будет достаточно для поддержки бизнеса в случае должной проработки процедуры и критериев их определения. Однако Алексей Морозков считает иначе. По его мнению, стимулирующие меры будут играть важную роль и могут представлять собой, к примеру, налоговые или иные льготы при покупке средств защиты ПДн, проведении регулярных независимых аудитов безопасности, развитии и совершенствовании культуры ИБ в компаниях и т.п.
"Следует отметить, что преференции за покупку средств защиты имеют свои подводные камни - после приобретения эти продукты могут использоваться неэффективно, быть неправильно сконфигурированы и т.п. Поэтому и важно проведение внешней независимой оценки эффективности принимаемых мер защиты ПДн на регулярной основе", - замечает Алексей Морозков.
По словам Александра Буравцова, нормативная база "все-таки" не может содержать мер поддержки. Но сами они, конечно, необходимы. И Минцифры способно их разработать, на примере льгот для ИТ-компаний.
Предложения Сбера
В своем письме Правительству Сбер предлагал применять оборотные штрафы только в исключительных случаях, когда действия (бездействие) оператора повлекли причинение вреда субъектам ПДн в результате неправомерного распространения их ПДн и (или) получения доступа к их ПДн неограниченного круга лиц
Также банк рекомендовал считать основным критерием для определения нарушения и назначения наказания за утечку ПДн их неправомерное распространение неограниченному кругу лиц.
Однако Александр Барышников не считает, что только неправомерное распространение ПДн неограниченному кругу лиц стоит определять как нарушение.
"Здесь с формулировками нужно поработать. Потому что, на самом деле, может быть взлом, может быть процедура продажи этих данных, то есть, отсутствует факт распространения неограниченному кругу лиц, но это, все же, утечка персональных данных. И эти случаи тоже стоит учитывать, рассматривать и штрафовать за такое", - отмечает Александр Барышников.
Кроме того, банк предлагал конкретизировать объективную сторону административного правонарушения. Для этого, по его мнению, необходимо предусмотреть, что ответственность наступает за определенные действия (бездействие) оператора ПДн. К ним банк относит неправомерную передачу ПДн либо неприменение предусмотренных законодательством мер по обеспечению безопасности ПДн при их обработке, которые повлекли за собой распространение ПДн и (или) получение доступа к ПДн неограниченного круга лиц.
Ирина Пантина обращает внимание, что за неисполнение предусмотренных законодательством требований по обеспечению безопасности ПДн ответственность должна существовать вне зависимости от допущенных утечек. При этом, если в ходе расследования утечки было установлено, что требования по ИБ не выполнялись, то компании должны привлекаться к "отдельной ответственности".
"Пример – правила дорожного движения. ГИБДД контролирует исполнение ПДД в критических контрольных точках и выписывает штрафы за их нарушение. В случае аварии, если было установлено нарушение ПДД, также выписывается штраф. Также возникают возмещения по ОСАГО", - поясняет Ирина Пантина.
Руслан Добрынин отмечает, что вместе с ПДн оператор принимает на себя ответственность за их сохранность, поэтому любая утечка всегда является серьезным нарушением, за которое необходимо наказывать. Но это, по его словам, не отменяет необходимости тщательного расследования причин и механики утечки. Неприменение специализированных мер защиты, по его мнению, целесообразно прописать и обозначить как прямое нарушение законодательства.
Еще банк предлагал к обсуждению возможный подход при назначении административного наказания за обработку ПДн в случаях, не предусмотренных законодательством, включая предоставление третьим лицам. Обсуждать эти подходы он рекомендовал отдельно от темы "утечек", "с учетом оценки реальной общественной опасности" таких ситуаций.
Вдобавок Сбер отмечал, что необходимо уточнить термин "уникальное обозначение сведений о физическом лице", так как он имеет широкое толкование и не в каждом случае скомпрометированная информация будет нести вред.
"Полагаем, что само по себе раскрытие такой информации, например, порядкового номера сведений о субъекте ПДн, используемого для определения лица в информационной системе, не обладает признаками общественной опасности", - говорилось в письме.
