Защита персонально сданных
22 апреля 2023Разговоры о повышении штрафов за утечки идут давно. Причина –– несоразмерность ответственности и нарушения. Штраф до нескольких десятков тысяч рублей не мотивирует организовать должную защиту сведений: дешевле заплатить за утечку, чем защититься от нее. Софт и специалист, который будет с ним работать, обойдутся компании в сотни, а то и в тысячи раз дороже, чем нынешний размер взыскания. Мне непонятно, почему максимальная санкция за хранение данных вне территории РФ достигает 18 млн рублей, а утечка ПД тысяч граждан РФ обернется наказанием порядка 60 тыс. Дисбаланс очевиден.
Введение оборотных штрафов станет действенным стимулом, чтобы компании вкладывались в реальную защиту персональных данных. Конечно, просто перенести европейскую практику GDPR (постановление, которое унифицируют защиту ПД всех лиц в Европейском союзе) на российскую почву не получится –– не тот экономический уровень и запас прочности у отечественного бизнеса. Вилка штрафов должна быть такой, чтобы одна утечка не убила всю операционную деятельность компании. При этом наказание должно быть ощутимым для организации, как минимум соразмерным вложениям в средства защиты.
Я убежден, что наказание должно учитывать уровень информационной безопасности (ИБ) в компании. Если организацию взламывали несколько месяцев инсайдеры или хакеры и что-то им, изощрившись, всё же удалось утащить, то это совсем не то же самое, что утечка в компании, где к ПД открыт доступ всем –– от уборщицы до контрагента. В первом случае штраф должен быть умеренный, а во втором –– полноценный, с ответственностью руководителей и рядовых сотрудников компании. Так что главное –– ввести гибкую шкалу штрафов и привязать ее к тому, как была обеспечена ИБ до инцидента. Также стоит учитывать масштаб утечки –– несколько строк или данные тысяч граждан.
Помимо ответственности для юридических лиц есть практика наказания физических –– здесь речь уже о конкретных нарушителях, которые продают данные. К проработке уголовной ответственности за инциденты ИБ стоит подойти особенно внимательно. Стоит ли наказывать реальным сроком человека, слившего случайно или намеренно ПД? Минцифры, которое поддержало введение тюремного заключения в ряде случаев до 10 лет, аргументирует суровые меры тяжестью последствий для граждан.
Считаю, что основную ответственность всё же несет организация, из которой произошла утечка. Главное –– не сваливать ее на «козла отпущения» –– какого-то сотрудника, чтобы только замять инцидент и забыть, как страшный сон.
Если в организации грамотно настроена система ИБ, то инсайдера в 99 случаях из 100 выявят. Его наказание также должно быть соразмерно ущербу и обстоятельствам. Ведь утечки бывают случайными, по незнанию, халатности. Или намеренными –– с использованием хитроумных схем, привлечением сообщников, пониманием последствий для организации и граждан. В последнем случае ответственность серьезнее. Потому наказание в виде лишения свободы за сам факт торговли ПД нужно вводить аккуратно и для исключительных случаев. Например, если все участники преступления осознавали свои действия, продажа данных поставлена на поток, в схему вовлекаются новые люди и тому подобное.
Если отойти от санкционных мер –– штрафов и сроков за утечки –– то нужно проработать ряд других важных аспектов для защиты ПД.
Во-первых, вывести требования к их защите на уровень нормативного акта. Сейчас это прерогатива отраслевого регулятора и распространяется на субъекты КИИ, системообразующие предприятия. А в реальности операторы ПД –– это тысячи компаний, которые не попадают ни в одну из категорий. К слову, в 2022-м на уровне регионов стали появляться письма с рекомендациями по защите — например на Сахалине, в Магаданской области, где прописано, что и как защищать, какие технические средства применять. Такую практику нужно ввести в масштабах страны.
Во-вторых, сделать закон четким и ясным, прописать конкретные меры и инструменты для обеспечения защиты данных. Они должны быть понятны не только специалистам по ИБ, но владельцам и руководителям даже небольших компаний.
Во-третьих, Роскомнадзор должен провести мониторинг всех предприятий РФ на предмет обработки персональных данных. Если компания не может соблюсти правила сбора, хранения и защиты информации, то и работать с ПД она не должна. Это как получить лицензии, сертификаты, разрешения в других сферах, чтобы бизнес был законным. Постепенно наличие средств защиты должно стать современным знаком качества для тех, кто оказывает услуги широким слоям населения. Нет знака –– люди не рискуют и не пользуются.
В-четвертых, запараллелить процессы цифровизации и ИБ. Сейчас инфобез в догоняющих: сначала внедряем передовые технологии, а потом оцениваем, ударит ли это по безопасности граждан. Яркий пример в здравоохранении –– активно выделяются бюджеты на внедрение ИИ, телемедицину, а медданнные граждан продолжают сливать страховщикам, ритуальным агентствам, спамерам и мошенникам. Цифровизация без защиты –– как дом без крыши: опасна для жизни, здоровья и благополучия людей.
В-пятых, необходимо усилить просветительскую работу среди граждан. Люди решают, куда, как и для чего они передают данные, и иногда действительно не осознают последствий. Научить граждан элементарным правилам ИБ, предупредить о рисках, рассказать, как использовать существующие законы для защиты собственных интересов, –– всё это повысит сознательность граждан в обращении с личной информацией.
Автор — председатель совета директоров «СерчИнформ» Лев Матвеев
«Известия», 22.04.2023: https://iz.ru/1502143/lev-matveev/zashchita-personalno-sdannykh