Перейти к основному контенту
Эксклюзивы РБК ,  
0 

Минэк предложил штрафовать разработчиков антивирусов за утечки данных

Минэк предложил распространить оборотные штрафы за утечки персональных данных на поставщиков решений информбезопасности. В противном случае введение штрафов приведет к банкротству четырех из пяти компаний малого и среднего бизнеса
Фото:  ponsulak / Shutterstock
Фото: ponsulak / Shutterstock

Минэкономразвития предлагает распространить оборотные штрафы за утечки персональных данных на поставщиков решений в области информбезопасности. Об этом в понедельник, 25 ноября, заявил директор департамента цифрового развития и экономики данных Минэка Владимир Волошин на круглом столе в Госдуме, передает корреспондент РБК.

Как пояснил Волошин, проведенный Минэком анализ показал, что, если бы рассматриваемый сейчас Госдумой законопроект об оборотных штрафах за утечки данных был принят год назад, его реализация могла бы привести к тому, что четыре из пяти компаний малого и среднего бизнеса, попавших под подобные штрафы, оказались бы на грани банкротства. «Судя по комментариям представителей разработчиков продуктов информационной безопасности, они уверены в наличии всех необходимых решений для защиты данных. В связи с этим предлагается рассмотреть возможность распространения оборотных штрафов на самих разработчиков в случае, если утечка произошла, и специализированное программное обеспечение не смогло обеспечить должный уровень защиты», — отметил Владимир Волошин.

Глава «Ростелекома» заявил об утечке данных всех россиян
Общество
Фото:Михаил Гребенщиков / РБК

С предложением согласился замдиректора Федеральной службы по техническому и экспортному контролю (ФСТЭК) Виталий Лютиков. По его словам, ответственность за утечки должны нести не только операторы персональных данных. Если причиной утечки стала уязвимость в программном обеспечении, то ответственность за это нужно разделять с разработчиком этого софта, а если интегратор или центр мониторинга информационной безопасности (Security Operations Center, SOC) не отреагировали на события в части безопасности должным образом, то отвечать должны и они.

В конце 2023 года ФСТЭК получила полномочия оценивать состояние защиты информации. В 2024 году служба проверила более 100 организаций и выяснила, что базовый уровень безопасности обеспечивают лишь 10% из них, в 39% уровень защиты информации был низким, в 51% — катастрофическим.

Как планируют наказывать за утечки

Законопроект о введении оборотных штрафов и усилении уголовной ответственности за утечки персональных данных обсуждается с 2022 года. Соответствующие поправки в Административный и Уголовный кодексы в Госдуму внесла группа сенаторов и депутатов в середине прошлого года. В первой версии предлагалось увеличить штрафы для юрлиц до 3–5 млн руб., если утечка затрагивает от 1 до 10 тыс. субъектов персональных данных (граждан); до 5–10 млн руб., если затрагивает от 10 до 100 тыс. субъектов и до 10–15 млн руб., если более 100 тыс. субъектов. За повторное нарушение, независимо от объема утекших данных, предлагалось ввести штраф в размере от 0,1 до 3% годовой выручки за предшествующий календарный год или за часть текущего года. При этом минимальный штраф должен составить 15 млн руб., а максимальный — 500 млн руб.

Forbes узнал об идее увеличить в 10 раз штрафы за повторные утечки данных
Бизнес
Фото:Григорий Сысоев / РИА Новости

В январе 2024 года законопроект был принят в первом чтении, второе и третье чтение ожидаются во вторник, 26 ноября. В середине ноября Forbes писал со ссылкой на версию проекта ко второму чтению, что минимальный штраф для юрлиц за повторные утечки данных вырастет до 1–3% от годовой выручки, для должностных лиц он снизится с 3–5 млн руб. до 1,1–1,2 млн руб. При этом документ вводит смягчающие обстоятельства для компаний, инвестирующих не менее 0,1% годовой выручки в информационную безопасность. Также компании должны будут иметь лицензию ФСБ на разработку криптографических систем или сотрудничать с лицензированным подрядчиком. Банкам разрешат рассчитывать штрафы на основе объема капитала. В то же время собеседник Forbes оговаривался, что эта версия законопроекта еще не согласована с правительством.

Зачем разделять ответственность

Как пояснил Волошин РБК, законодательство в отношении утечек данных нужно менять, но важно учитывать все возможные социально-экономические последствия, поскольку практически все компании используют персональные данные. Введение новых штрафов в рамках предлагаемой конструкции, по его мнению, может создать серьезные риски для ряда отраслей, таких как туризм, транспорт, строительство, энергетика, банковская сфера, маркетплейсы, медицина, видеоигры, образование и связь. Особенно это касается сектора малых и средних предприятий.

По его словам, представители компаний из перечисленных отраслей уже выражают обеспокоенность возможными последствиями. Волошин подчеркнул, что изменить процессы работы с данными до вступления новых норм в силу будет невозможно из-за нехватки финансовых ресурсов, кадров и соответствующих программных продуктов на рынке. По его мнению, это может привести к тому, что часть проектов, связанных с развитием рынка данных, включая заявленный в нацпроекте «Экономика данных», могут урезать. В ряде отраслей может произойти «цифровая деградация», часть используемых сервисов могут отключить.

РКН заявил об утечке в Сеть 600 млн записей о россиянах с начала года
Политика

Руководитель группы по сопровождению GR-проектов ГК «Солар» Андрей Медунов отметил, что любая ответственность должна распространяться на лиц, которые повлияли на появление негативных последствий, но он не уверен, что этот вопрос необходимо вписывать в законодательство, поскольку его можно урегулировать в договорах. «Будь это центр мониторинга или поставщик решений информационной безопасности, он должен нести ответственность за утечку, но важно учитывать степень влияния и доказательства его виновности (неэффективность продукта, несвоевременное реагирование). Операторов персональных данных с поставщиками решений информационной безопасности и центрами мониторинга связывают коммерческие отношения, в рамках которых возможно предусмотреть формы финансовой ответственности в случае утечки», — рассуждает Медунов.

Важно, чтобы при разработке нормативных актов учитывалось не только наличие какого-либо ИБ-решения, но также указывалось, что компания должна его корректно установить и настроить по инструкции вендора, регулярно проводить обучение своих сотрудников работе с данным средством защиты информации, организовать процесс мониторинга и реагирования на инциденты, о которых будет сообщать решение, с четко заданным временем на реакцию администратора IT или офицера ИБ, сказал РБК представитель «Лаборатории Касперского». Если это не предусмотреть, то просто факт покупки антивирусного решения или любого другого средства защиты информации не может гарантировать, что защита обеспечена на должном уровне, считает он.

РБК направил запрос в Positive Technologies, Softline, Bi.Zone.

Тематический проект о российской винодельческой культуре, вине и спиртных напитках

РБК Вино РБК Вино

Дмитрий Левицкий — «РБК Вино»: «Мы строим город, чтобы влюблять в вино»

РБК Вино РБК Вино

Красивое и противоречивое: что такое амфорное вино

РБК Вино РБК Вино

Зеленые и желтые: какими кроме красных и белых бывают вина

РБК Вино РБК Вино

Артур Саркисян о том, хватит ли российского вина

РБК Вино РБК Вино

Как устроено восприятие вкусов

РБК Вино РБК Вино

Производство вина в России достигло исторических максимумов

РБК Вино РБК Вино

Перспектива терруара: станет ли Крым российским Провансом

РБК Вино РБК Вино

Царь супов русских: все о борще

Авторы
Теги
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Курс евро на 4 декабря
EUR ЦБ: 112,02 (-0,78)
Инвестиции, 03 дек, 17:33
Курс доллара на 4 декабря
USD ЦБ: 106,19 (-0,99)
Инвестиции, 03 дек, 17:33
Как устроен ветрогенератор «Росатома» на 2,5 МВтРБК и Росатом, 19:38
Гостеприимство по-русски: как государство поддерживает внутренний туризмНациональные проекты, 19:36
Почему на рынке растет спрос на услуги центров мониторинга кибератакОтрасли, 19:34
Россия запросила заседание СБ ООН по западным поставкам оружия УкраинеПолитика, 19:34
Следователи Камчатского края возбудили дело о заражении младенца ВИЧОбщество, 19:31
Кадыров сообщил о пострадавших при атаке дрона на центр ГрозногоПолитика, 19:22
Два старых бензовоза: как вырастить оборот компании в 10 раз до ₽3 млрдРБК и Альфа-Лизинг, 19:19
Здоровый сон: как легче засыпать и просыпаться
Интенсив РБК Pro поможет улучшить качество сна и восстановить режим
Подробнее
«Спартак» нанес «Барысу» шестое подряд поражение в КХЛСпорт, 19:17
Акции «Газпрома» упали на 5% после слов Силуанова о дивидендах компанииИнвестиции, 19:17
Впервые в истории «Формулы‑1» за одну команду выступят два братаСпорт, 19:15
«Технологии добра»: новые подходы к цифровизации некоммерческого сектораОтрасли, 19:13
«Авангард» выиграл 6:0 первый матч в КХЛ после ухода главного тренераСпорт, 19:08
В Британии запретят рекламировать мюсли и булочки днемВино, 19:00
Кадыров на американской бронетехнике приехал на свою прямую линиюПолитика, 19:00