К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Борьба с течением: как за рубежом регулируют сферу кибербезопасности

Фото Unsplash
Фото Unsplash
В России за последнее время увеличилось количество кибератак на IT-компании: так, в 2023 году их число выросло в четыре раза. Бизнес стремится защитить свои данные и предотвратить утечки, однако регулярно появляются новые угрозы, а атаки становятся все более изощренными и сложными. Как показал недавний опрос «Лаборатории Касперского», многие российские компании убеждены в том, что для всесторонней защиты необходим комплексный подход. Речь идет не только о технических средствах и обучении сотрудников, но и о регулировании всей сферы информационной безопасности (ИБ). В нашей стране комплексное регулирование пока не разработано, и в этом контексте интересно обратиться к опыту других стран, которые уже работают с утечками на системном уровне, считает директор по стратегическим проектам Ассоциации больших данных и Института исследований интернета Ирина Левова

Чужой опыт — тоже опыт

Во многих государствах регулирование цифровой безопасности основывается на системе обязательных требований и стандартов, которые должны соблюдать компании при разработке систем защиты данных. Например, в Китае они достаточно подробно прописаны и закреплены на законодательном уровне. Как правило, требования касаются порядка хранения, шифрования и обработки информации — компании могут получить штраф не за сам факт утечки, а за несоблюдение принятых стандартов. В некоторых странах регулирование разрабатывается отдельно для каждого региона. В США, например, индивидуально под каждый штат, но есть единое требование для всех — компании обязаны сообщать об утечках, затронувших чувствительные идентификаторы, который оговорены законом. Именно нераскрытие информации становится основанием для возникновения административной и гражданско-правовой ответственности. Например, Uber оштрафовали на $148 млн, так как компания не рассказала об утечке данных 57 млн пользователей, хотя по закону она обязана была это сделать.

Тем не менее сумма штрафов не бесконечна. С одной стороны, они должны быть ощутимыми для компании с целью не допускать утечек в принципе, а с другой — не подрывать ее деятельность и давать возможность выделять бюджеты на совершенствование систем защиты. В некоторых штатах США установлены верхние границы штрафов за несообщение об утечке: так, максимальная сумма для компании в округе Колумбия может составить $100 000, а в Калифорнии — $250 000.

Довольно широко распространена практика сотрудничества компаний и государственных органов при утечках данных. Это помогает оперативнее устранять последствия утечек, а в некоторых случаях открытость компаний к сотрудничеству может стать смягчающим обстоятельством при определении наказания. Сети отелей Marriott именно благодаря активному содействию расследованию, оперативному оповещению регулятора и клиентов об утечке и усилению мер безопасности удалось снизить сумму штрафа в пять раз, до $24 млн.

 
Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Подписаться

Казнить нельзя помиловать

В России в связи с ростом числа кибератак вопрос регулирования ИБ становится все более острым. На данный момент власти сосредоточены не столько на комплексном регулировании, сколько на достаточно жестких мерах ответственности — оборотных штрафах для бизнеса и уголовной ответственности для физических лиц. Такой подход может привести к ряду последствий.

Так, ужесточение штрафов за утечки до 3% от оборота вынудит компании на время снизить расходы на обучение сотрудников и вложения в ИБ в целом. Это приведет к ровно противоположному изначальной задаче эффекту: компания станет более уязвимой, а вероятность повторной утечки повысится. Непрозрачные формулировки о наступлении личной ответственности (в том числе уголовной) влекут за собой и другое возможное последствие — потенциальный отток IТ-специалистов, которые не захотят работать в условиях риска безвиновного наказания.

 

Споры в отрасли вызывает и предложение о выплатах компенсаций части пострадавших пользователей — участники рынка считают, что механизм по умолчанию выглядит несправедливым, и он будет дублировать имеющиеся практики, так как в России уже есть способы возмещения ущерба от утечек через суд. Наконец, его будет крайне сложно администрировать. Кроме того, инициатива может создать предпосылки для развития потребительского экстремизма в виде злоупотребления правом на компенсации, а также угрозы мошенничества в отношении пользователей в интернете. Эксперты отмечают, что в мире практики массовой досудебной компенсации не применяются в принципе — все решается в судебном порядке, как и в России.

В целом, международный опыт регулирования всегда основывается на непрерывном диалоге регулятора с отраслью — это можно взять на вооружение и российским законотворцам. Комплексный подход поможет разработать регулирование, которое позволит соблюсти интересы всех. Тем более, что компании и так максимально заинтересованы в том, чтобы развивать системы кибербезопасности: они уже сейчас тратят на это почти 20% от общего IT-бюджета, а к 2025 году планируют увеличить расходы еще на 14%.

Мнение редакции может не совпадать с точкой зрения автора

 

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+