К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего броузера.

Борьба с течением: как за рубежом регулируют сферу кибербезопасности

Фото Unsplash
Фото Unsplash
В России за последнее время увеличилось количество кибератак на IT-компании: так, в 2023 году их число выросло в четыре раза. Бизнес стремится защитить свои данные и предотвратить утечки, однако регулярно появляются новые угрозы, а атаки становятся все более изощренными и сложными. Как показал недавний опрос «Лаборатории Касперского», многие российские компании убеждены в том, что для всесторонней защиты необходим комплексный подход. Речь идет не только о технических средствах и обучении сотрудников, но и о регулировании всей сферы информационной безопасности (ИБ). В нашей стране комплексное регулирование пока не разработано, и в этом контексте интересно обратиться к опыту других стран, которые уже работают с утечками на системном уровне, считает директор по стратегическим проектам Ассоциации больших данных и Института исследований интернета Ирина Левова

Чужой опыт — тоже опыт

Во многих государствах регулирование цифровой безопасности основывается на системе обязательных требований и стандартов, которые должны соблюдать компании при разработке систем защиты данных. Например, в Китае они достаточно подробно прописаны и закреплены на законодательном уровне. Как правило, требования касаются порядка хранения, шифрования и обработки информации — компании могут получить штраф не за сам факт утечки, а за несоблюдение принятых стандартов. В некоторых странах регулирование разрабатывается отдельно для каждого региона. В США, например, индивидуально под каждый штат, но есть единое требование для всех — компании обязаны сообщать об утечках, затронувших чувствительные идентификаторы, который оговорены законом. Именно нераскрытие информации становится основанием для возникновения административной и гражданско-правовой ответственности. Например, Uber оштрафовали на $148 млн, так как компания не рассказала об утечке данных 57 млн пользователей, хотя по закону она обязана была это сделать.

Материал по теме

Тем не менее сумма штрафов не бесконечна. С одной стороны, они должны быть ощутимыми для компании с целью не допускать утечек в принципе, а с другой — не подрывать ее деятельность и давать возможность выделять бюджеты на совершенствование систем защиты. В некоторых штатах США установлены верхние границы штрафов за несообщение об утечке: так, максимальная сумма для компании в округе Колумбия может составить $100 000, а в Калифорнии — $250 000.

Довольно широко распространена практика сотрудничества компаний и государственных органов при утечках данных. Это помогает оперативнее устранять последствия утечек, а в некоторых случаях открытость компаний к сотрудничеству может стать смягчающим обстоятельством при определении наказания. Сети отелей Marriott именно благодаря активному содействию расследованию, оперативному оповещению регулятора и клиентов об утечке и усилению мер безопасности удалось снизить сумму штрафа в пять раз, до $24 млн.

 
Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Подписаться

Казнить нельзя помиловать

В России в связи с ростом числа кибератак вопрос регулирования ИБ становится все более острым. На данный момент власти сосредоточены не столько на комплексном регулировании, сколько на достаточно жестких мерах ответственности — оборотных штрафах для бизнеса и уголовной ответственности для физических лиц. Такой подход может привести к ряду последствий.

Так, ужесточение штрафов за утечки до 3% от оборота вынудит компании на время снизить расходы на обучение сотрудников и вложения в ИБ в целом. Это приведет к ровно противоположному изначальной задаче эффекту: компания станет более уязвимой, а вероятность повторной утечки повысится. Непрозрачные формулировки о наступлении личной ответственности (в том числе уголовной) влекут за собой и другое возможное последствие — потенциальный отток IТ-специалистов, которые не захотят работать в условиях риска безвиновного наказания.

 
Материал по теме

Споры в отрасли вызывает и предложение о выплатах компенсаций части пострадавших пользователей — участники рынка считают, что механизм по умолчанию выглядит несправедливым, и он будет дублировать имеющиеся практики, так как в России уже есть способы возмещения ущерба от утечек через суд. Наконец, его будет крайне сложно администрировать. Кроме того, инициатива может создать предпосылки для развития потребительского экстремизма в виде злоупотребления правом на компенсации, а также угрозы мошенничества в отношении пользователей в интернете. Эксперты отмечают, что в мире практики массовой досудебной компенсации не применяются в принципе — все решается в судебном порядке, как и в России.

Материал по теме

В целом, международный опыт регулирования всегда основывается на непрерывном диалоге регулятора с отраслью — это можно взять на вооружение и российским законотворцам. Комплексный подход поможет разработать регулирование, которое позволит соблюсти интересы всех. Тем более, что компании и так максимально заинтересованы в том, чтобы развивать системы кибербезопасности: они уже сейчас тратят на это почти 20% от общего IT-бюджета, а к 2025 году планируют увеличить расходы еще на 14%.

Мнение редакции может не совпадать с точкой зрения автора

 
Материал по теме

Информация:

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

иконка маруси

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

СМИ2 SPARROW INFOX
Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+