Из бизнесменов в хакеры: что не так с законопроектом о наказании за утечки данных
Кто виноват?
В текущей редакции проект содержит немало спорных моментов. В частности, из текста закона не ясно, где проходит грань между виной компании за утечку персональных данных и хакера, совершившего атаку. Согласно предлагаемым поправкам в КоАП, юридическому лицу нужно будет заплатить за утечку данных от трех до 15 млн рублей в зависимости от ее объема, при этом основания для такого наказания четко не прописаны. За повторные утечки грозит еще большее наказание — штраф до 500 млн рублей или 3% от оборота. При этом не исключено, что крупные компании будут неоднократно попадать на радары злоумышленников.
Законопроект предполагает и введение уголовной ответственности: сотруднику компании, который работает с персональными данными, может грозить до шести лет тюрьмы, но на данный момент непонятно, что конкретно к этому может привести. По сути, между бизнесом, который часто является пострадавшей стороной, и киберпреступниками ставится знак равенства.
Разумность такого уравнивания вызывает сомнения, учитывая, что на практике во многих случаях утечек довольно сложно понять, кто на самом деле виноват. Например, можно вспомнить историю со взломом программы «СберСпасибо» и других сервисов «Сбера»: полная вина компании не была доказана, а сам факт утечки не был подтвержден. Впоследствии даже возникло предположение, что появившиеся данные — попытка продать на рынке компиляции старых баз под видом оригинальных. Похожая история произошли с МТС-банком, 1С и рядом других компаний.
Пока остается только гадать, как будут разрешаться такие ситуации по новому закону, но у бизнеса есть резонные опасения, что всю вину возложат исключительно на него. При этом на фоне геополитической ситуации количество кибератак на российский бизнес только увеличивается.
Разумное решение
В нынешней редакции законопроект предполагает одинаковые санкции для всех компаний, независимо от уровня и качества обеспечения безопасности данных. При этом очевидно, что цифровой бизнес делает работу над ошибками и вкладывается в собственные системы безопасности: согласно открытым данным, по итогам 2022 года объем расходов на кибербезопасность в российских компаниях составил в среднем $3,7 млн, а к 2025 году расходы планируется увеличить на 14%.
Более того, на площадке Ассоциации больших данных (АБД) уже разработана концепция отраслевого стандарта защиты данных, и компании-участники активно работают над документом. Его важная составляющая — независимый аудит, который позволит оценить соответствие систем информационной безопасности компаний заявленному уровню безопасности. Идею уже поддержали в Минцифре.
В новом законодательстве логично было бы предусмотреть смягчающие обстоятельства для компаний, которые осознают ответственность и активно работают над развитием информационной безопасности. В противном случае угроза крупных штрафов и даже уголовного наказания может привести к обратному эффекту: компании не будут заинтересованы инвестировать в инфобезопасность, ведь какие бы усилия они ни предпринимали, в случае утечки ответственность все равно ляжет на них.
Нет никаких сомнений в том, что с проблемой кибератак нужно бороться: по данным экспертного центра безопасности Positive Technologies, за первые девять месяцев 2023 года число кибератак, по сравнению с аналогичным периодом прошлого года, увеличилось на 76%. Злоумышленники постоянно изменяют свои способы атаки, желая заполучить все больше данных, и конечно, с этим нужно что-то делать. Вопрос в методах: такую комплексную проблему не получится решить исключительно штрафами.
Хочется верить, что авторам все же удастся найти баланс и представить документ, который станет действительно эффективным инструментом в борьбе с киберпреступлениями, а не очередным способом дополнительного финансирования собирающих штрафы госструктур.
Мнение редакции может не совпадать с точкой зрения автора