Минэк предложил штрафовать разработчиков антивирусов за утечки данных
Сюжет
Эксклюзивы РБК
Минэк предложил распространить оборотные штрафы за утечки персональных данных на поставщиков решений инфорбезопасности. В противном случае, введение штрафов приведет к банкротству четырех из пяти компаний малого и среднего бизнеса
Минэкономразвития предлагает распространить оборотные штрафы за утечки персональных данных на поставщиков решений в области информбезопасности. Об этом в понедельник, 25 ноября заявил директор департамента цифрового развития и экономики данных Минэка Владимир Волошин на круглом столе в Госдуме, передает корреспондент РБК.
Как пояснил Волошин, проведенный Минэком анализпоказал, что, еслибы рассматриваемый сейчас Госдумойзаконопроект об оборотных штрафах за утечки данных был принят год назад, его реализация моглабы привести к тому, что четыре из пяти компаний малого и среднего бизнеса, попавших под подобные штрафы, оказалисьбы на грани банкротства. «Судя по комментариям представителей разработчиков продуктов информационной безопасности, они уверены в наличии всех необходимых решений для защиты данных. В связи с этим предлагается рассмотреть возможность распространения оборотных штрафов на самих разработчиков в случае, если утечка произошла, и специализированное программное обеспечение не смогло обеспечить должный уровень защиты»,— отметил Владимир Волошин.
С предложением согласился замдиректора Федеральной службы по техническому и экспортному контролю (ФСТЭК) Виталий Лютиков. По его словам, ответственность за утечки должны нести не только операторы персональных данных. Если причиной утечки стала уязвимость в программном обеспечении, то ответственность за это нужно разделять с разработчиком этого софта, а если интегратор или центр мониторинга информационной безопасности (Security Operations Center, SOC) не отреагировали на события в части безопасности должным образом, то отвечать должны и они.
В конце 2023 года ФСТЭК получила полномочия оценивать состояние защиты информации. В 2024-м служба проверила более 100 организаций и выяснила, что базовый уровень безопасности обеспечивают лишь 10% из них, в 39% уровень защиты информации был низким, в 51%— катастрофическим.
Как планируют наказывать за утечки
Законопроект о введении оборотных штрафов и усилении уголовной ответственности за утечки персональных данных обсуждается с 2022 года. Соответствующие поправки в Административный и Уголовный кодексы в Госдуму внесли группа сенаторов и депутатов в середине прошлого года. В первой версии предлагалось увеличить штрафы для юрлиц до 3-5 млн руб., если утечка затрагивает от 1 до 10 тыс. субъектов персональных данных (граждан); до 5-10 млн руб., если затрагивает от 10 до 100 тыс. субъектов и до 10-15 млн руб., если более 100 тыс. субъектов. За повторное нарушение, независимо от объема утекших данных, предлагалось ввести штраф в размере от 0,1 до 3% годовой выручки за предшествующий календарный год или за часть текущего года. При этом минимальный штраф должен составить 15 млн руб., а максимальный— 500 млн руб.
В январе 2024 года законопроект был принят в первом чтении, второе и третье чтение ожидаются во вторник, 26 ноября. В середине ноября Forbes писал со ссылкой на версию проекта ко второму чтению, что минимальный штраф для юрлиц за повторные утечки данных вырастет до 1–3% от годовой выручки, для должностных лиц они снизятся с 3–5 млн руб. до 1,1–1,2 млн руб. При этом документ вводит смягчающие обстоятельства для компаний, инвестирующих не менее 0,1% годовой выручки в информационную безопасность. Также компании должны будут иметь лицензию ФСБ на разработку криптографических систем или сотрудничать с лицензированным подрядчиком. Банкам разрешат рассчитывать штрафы на основе объема капитала. В тоже время собеседник Forbes оговаривался, что эта версия законопроекта еще не согласована с правительством.
Зачем разделять ответственность
Как пояснил Волошин РБК, законодательство в отношении утечек данных нужно менять, но важно учитывать все возможные социально-экономические последствия, поскольку практически все компании используют персональные данные. Введение новых штрафов в рамках предлагаемой конструкции, по его мнению, может создать серьезные риски для ряда отраслей, таких как туризм, транспорт, строительство, энергетика, банковская сфера, маркетплейсы, медицина, видеоигры, образование и связь. Особенно это касается сектора малых и средних предприятий.
По его словам, представители компаний из перечисленных отраслей уже выражают обеспокоенность возможными последствиями. Волошин подчеркнул, что изменить процессы работы с данными до вступления новых норм в силу будет невозможно из-за нехватки финансовых ресурсов, кадров и соответствующих программных продуктов на рынке. По его мнению, это может привести к тому, что часть проектов, связанных с развитием рынка данных, включая заявленные в нацпроекте «Экономика данных», могут урезать. В ряде отраслей может произойти «цифровая деградация», часть используемых сервисов могут отключить.
Руководитель группы по сопровождению GR-проектов ГК «Солар» Андрей Медунов отметил, что любая ответственность должна распространяться на лиц, которые повлияли на появление негативных последствий, но он не уверен, что этот вопрос необходимо вписывать в законодательство, поскольку его можно урегулировать в договорах. «Будь это центр мониторинга или поставщик решений информационной безопасности, он должен нести ответственность за утечку, но важно учитывать степень влияния и доказательства его виновности (неэффективность продукта, несвоевременное реагирование). Операторов персональных данных с поставщиками решений информационной безопасности и центрами мониторинга связывают коммерческие отношения, в рамках которых возможно предусмотреть формы финансовой ответственности в случае утечки»,— рассуждает Медунов.
РБК направил запрос в Positive Technologies, Softline, Bi.Zone и «Лабораторию Касперского».
No comment