Увеличение штрафов за утечки персданных: мера необходима, но не сработает

754

Об авторе: Лев Матвеев – председатель совета директоров компании «СёрчИнформ».

Восемнадцатого мая в свободном доступе оказались данные нарушителей самоизоляции в Москве. Подобные новости об утечках персональных сданных (ПД) появляются практически ежедневно, последнее время они, как правило, связаны с пандемией коронавируса. Если преступная статистика становится такой обыденной, может, пришло время заняться подобными инцидентами серьёзнее? Ужесточать наказание, вводить новые требования к информационной безопасности для операторов ПД.

Одной из таких мер может быть повышение штрафов за утечку данных. В начале марта Ассоциация юристов России предложила Госдуме и Роскомнадзору ужесточить ответственность за нарушения в сфере персональных данных: в случае утечки потерпевшие смогут требовать компенсацию от 500 тысяч до 5 миллионов рублей.

Но одно только увеличение штрафов в борьбе с утечками не сработает.

Мера необходима

ИБ-сообщество давно поднимает вопросы ужесточения ответственности за утечки данных. ФЗ 152 «О персональных данных» выполняется условно, штраф за нарушения символический – не больше 75 тысяч рублей (ст. 13.11 КоАП РФ). Он вряд ли напугает крупную телеком-компанию или, например, гостиничную сеть.

При этом ПД собираются даже без особой необходимости, особенно малым и средним бизнесом. Они копируют паспорта на проходных, собирают целый «цифровой профиль» человека для получения дисконтной карты: ФИО, телефоны, адреса. Но у сектора МСБ зачастую нет ресурсов, чтобы должным образом защитить информацию. В итоге массивы персональных данных, как минимум, начинают кочевать по рукам предприимчивых маркетологов. А как максимум – использоваться для серьёзного мошенничества.

Уверен, с увеличением штрафов желающих собирать ПД станет меньше. Однако я не согласен с суммами, которыми оперируют представители Ассоциации юристов России. Штрафы в 500 тысяч – 5 миллионов могут обанкротить и без того не сильно крепкий средний бизнес России. Тут нужен взвешенный подход. Опираться можно, например, на европейскую практику – Общий регламент защиты персональных данных (GDPR), согласно которому штрафы привязаны к годовому обороту компании-оператора ПД.

Почему одно лишь увеличение штрафов – не сработает

Проблема сохранности ПД не только в отсутствии штрафов и в нежелании операторов защищать информацию. Сказывается и отсутствие чётких регламентов от регуляторов, разрозненность рекомендаций, нехватка ИБ-кадров в стране и другие факторы.

Корень проблемы вижу в подходе к защите данных: у операторов ПД сложилось представление, что им угрожают хакеры, которые разрабатывают сложнейшие системы взлома, чтобы эти данные украсть. А статистика говорит, что в России около 70% утечек происходит при участии инсайдеров. И пока большинство операторов «воюет» с внешними врагами, внутренние враги сливают терабайты данных в даркнет.

Кнутом в виде миллионных штрафов эту проблему не закрыть. Поможет только комплексный подход к информационной безопасности, включающий:

  1. Четкие требования и регламенты ко всем операторам ПД – что, как и с помощью чего они должны защищать. Не рекомендовать защитные решения, а чётко прописать – на вооружении ИБ-специалиста должны быть не только антивирус и файервол, а DLP, SIEM, DPCAP и DAM-системы для защиты от внутренних угроз.
  2. Методики для проверок соблюдения этих регламентов. ФЗ-152 – в принципе, неплохой закон, но из-за того, что его исполнение проверяется только «на бумаге» – он не работает. Разработайте работающие методики проверок – и дело пойдет на лад.
  3. Реальные, а не номинальные штрафы. «Кошмарить» бизнес штрафами – плохо, но не устанавливать адекватного наказания – значит получить в ответ неисполнение закона.

Чтобы решить проблему, нужно всего лишь внедрять последовательно адекватные административные меры и обязательное защитное ПО. Забота профессионального сообщества и государства – инициировать эти изменения как можно скорее.

С чего начать?

В течение трёх лет ответственные чиновники, которых премьер-министр Михаил Мишустин назвал «цифровым спецназом правительства», должны будут внедрить «цифру» в органы власти и выстроить единую цифровую инфраструктуру. Ускоренная цифровизация потянет за собой повышение рисков информационной безопасности. Поэтому озаботиться защитой данных на государственном уровне придётся так же ускоренно. К сожалению, национальная программа «Цифровая экономика» лишь поверхностно касается этого вопроса.

Что странно, ведь если десятки тысяч записей ПД оседают в средней фирме, то государство в лице всех его министерств, ведомств, служб собирает просто невероятные объёмы информации. Здесь речь идет уже не просто о цифровых профилях граждан. Создается цифровой профиль государства, огромная информационная надстройка, со своими границами, законами, уязвимостями и, конечно, угрозами.

Сегодня у государства есть все ресурсы и возможности для эталонного использования инструментария защиты данных. А также есть рычаги для тиражирования отработанной практики и рекомендаций на остальных операторов ПД. И прежде чем ужесточить штрафы, нужно отработать обязательную базу по защите данных – законодательную и инструментальную – в первую очередь на государственном уровне.

Вместо итога

Решить проблему сохранности ПД в стране – реально, но думать, что это сделает точечная мера в виде ужесточения штрафов, по крайней мере наивно. Мы выведем безопасность страны на новый уровень только при комплексном подходе: внедряя регламенты информационной безопасности, охватив вопросы не только внешней, но и внутренней безопасности, привлекая к расследованиям и разработке регулирующих документов ИБ-практиков.

Далее останется спустить их «ниже» и ввести «порог входа»: если эти рекомендации и требования организацией не соблюдаются, то она не может собирать, аккумулировать, хранить и тем более передавать третьим лицам ПД.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: