ЦБ решил наказывать за утечку данных банков их топ-менеджеров
Центробанк планирует ввести личную ответственность для топ-менеджеров банков за утечки данных пользователей, сообщил зампред ЦБ Герман Зубарев. Нарушения и утечки будут наказываться «вплоть до дисквалификации», пообещал он. Ранее Минцифры предложило ввести оборотный штраф за утечки в размере 3%, но бизнес попросил пересмотреть положения поправок
Банк России считает необходимым в случае утечек личных данных клиентов наказывать персонально руководителей банков, отвечающих за информационную безопасность, сообщил зампред ЦБ Герман Зубарев на форуме «Кибербезопасность в финансах». «Нарушения и утечки будут наказываться вплоть до дисквалификации», — сказал он (цитата по «Интерфаксу»). Инициатива пока находится на стадии проекта.
В кулуарах форума Зубарев пояснил, что у регулятора есть квалификационные требования к заместителям руководителей по безопасности. По его словам, если в банке произойдет утечка данных и в ходе расследования выяснится, что он нарушал требования информационной безопасности, профильный заместитель перестанет соответствовать этим требованиям, и ЦБ сможет выпустить предписание о его замене.
В декабре 2022 года глава Минцифры Максут Шадаев сообщил, что на фоне «серьезной проблемы с утечкой данных» ведомство разработало законопроект об оборотных штрафах для компаний за утечку персональных данных пользователей, они могут составить до 3% от годового оборота компании. Смягчающим обстоятельством могут стать инвестиции в средства защиты и компенсация ущерба пострадавшим пользователям, а также сертификация IT-инфраструктуры «в соответствии с требованиями безопасности», отметил Шадаев. Владимир Путин поручил «рассмотреть вопрос» о введении оборотных штрафов для компаний за утечки к 1 июля.
Как стало известно Forbes, Российский союз промышленников и предпринимателей (РСПП) выступил против инициативы Минцифры и попросил пересмотреть положения поправок. Объединение полагает, что проект не позволит эффективно бороться с утечками, создаст высокие риски для добросовестных участников рынка и сократит инвестиции бизнеса в информационную безопасность. РСПП считает, что законодательное регулирование вопроса утечек должно стимулировать инвестиции в информационную безопасность, а не носить репрессивный характер.
В конце января Роскомнадзор отчитался, что в 2022 году насчитал 150 крупных утечек персональных данных. В результате было назначено штрафов на 1 млн рублей, также было вынесено девять предупреждений. В свою очередь, эксперты Group-IB сообщали, что количество сливов данных, оказавшихся в доступе на теневых форумах и в тематических Telegram-каналах, по итогам 2022 года выросло в пять раз, до 311 баз. Общее число строк данных пользователей превысило 1,4 млрд против 33 млн в 2021 году.