30 мая 2022, 19:09

Штрафы как стимул. Жесткое наказание за утечку данных улучшит кибербезопасность в компаниях

Эксперт по кибербезопасности Александр Вураско: штрафы за утечку данных заставят улучшать информационную безопасность

Читать 360tv в

Минцифры согласовало проект закона, по которому компаниям придется заплатить оборотный штраф в 1% за утечку данных. Если же слив информации решили скрыть, то наказание увеличится до 3%. Такая практика заставит компании инвестировать в информационную безопасность, чтобы избежать штрафов. Пока что менеджеры фирм видят информационную безопасность как пустую трату денег.

Минцифры согласовало проект закона, по которому компаниям придется заплатить оборотный штраф в 1% за утечку данных. Если же слив информации решили скрыть, то наказание увеличится до 3%. Такая практика заставит компании инвестировать в информационную безопасность, чтобы избежать штрафов. Пока что менеджеры фирм видят информационную безопасность как пустую трату денег.

Реклама

Минцифры согласовало проект закона, который ужесточает ответственность компаний за утечку персональных данных клиентов. Согласно инициативе, нарушителей могут оштрафовать на 1% от годового оборота. Он может вырасти до 3%, если компания не уведомила Роскомнадзор об утечке данных в течение суток. Законопроект находится в финальной стадии, на ближайшей неделе его могут внести в Госдуму написал «Коммерсант».

Еще в конце февраля стало известно о намерении Минцифры подготовить законопроект о введении оборотных штрафов за утечку персональных данных. Его разработку могли устроить недавняя утечка персональных данных из «Яндекс. Еды», которую оштрафовали на 60 тысяч рублей. В мае в сеть просочились данные 30 миллионов клиентов лабораторий «Гемотест», а 20 мая стало известно о крупном сливе персональных данных из Delivery Club.

Комитет Госдумы по информполитике поддержал введение оборотных штрафов за утечку персональных данных клиентов. По словам главы комитета Александра Хинштейна, у бизнеса должна быть мотивация для безопасного хранения данных пользователей.

Штрафы как стимул

Ужесточение ответственности за утечку персональных данных поможет не допустить таких прецедентов в будущем. Эксперт по информационной безопасности и цифровым угрозам, а также руководитель отдела анализа цифровых угроз сервис-провайдере Infosecurity Александр Вураско рассказал «360», что большие штрафы за утечку персональных данных давно накладываются на компании в странах Европы. Как результат — инвестирование в информационную безопасность фирмы. Но в России такой практики пока что нет.

«Главная задача штрафа — стимулировать компании, внедрять такие решения. Сейчас они из двух зол выбирают меньшее, а наименьшее — это штраф», — рассказал Вураско.

При этом на рынке есть масса решений как для крупных IT-компаний, так и для небольших фирм, которые тоже собирают персональные данные. По словам Вураско, на системы информационной безопасности предпочитают не тратить деньги, поскольку для менеджеров это выброшенные деньги.

Информационная безопасность не приносит прибыли <…> Но она позволит предотвратить штрафные санкции, и тогда станет понятно, что это нужное и полезно дело. В современном мире без культуры информационной безопасности нельзя

Александр Вураско.

Увеличение оборотного штрафа до 3% в случае сокрытия утечки даст крупным компаниям понять, что внедрение системы информационной безопасности обойдется дешевле.

Координатор Центра безопасного интернета Урван Парфентьев в разговоре с «360» тоже отметил, что оборотные штрафы будут стимулировать компании тщательнее защищать персональные данные свои клиентов. Однако многое будет зависеть от судебной практики.

«Понятно, что в это дело потребуется инвестировать. Но если будет нормальная судебная практика, то эти инвестиции окажутся меньше, чем налагаемое на компанию наказание. <…> Если на практике компании будут получать относительно небольшие штрафы, то новая норма закона для них не станет стимулом. Они не будут его бояться», — рассказал Парфентьев.

Ограничить утечки

Узнать об утечке персональных данных клиентов самостоятельно практически невозможно. По мнению Александра Вураско, пользователи могут отследить потерю информации о себе тогда, когда утекли специфические данные. Важно и то, что клиент знал кому и когда их сообщал. Но в большинстве ситуаций при передаче данных компании, пользователь теряет контроль над ними. В итоге только СМИ могут рассказать, на каком этапе произошел сбой и утечка информации.

Однако проблема даже не в самих утечках, а в том, как хранят данные. Урван Парфеньтев объяснил, что данные собирают тогда, когда это не требуется, и не удаляют вовремя. Специалист отметил, что зачастую фирмы хранят информацию дольше положенного срока в маркетинговых целях.

«В первую очередь это делается для того, чтобы показывать рекламодателям и спонсорам большую базу данных клиентов. Это используется для бонусных программ и для того, чтобы идентифицировать клиента», — отметил Парфеньтев.

По мнению специалиста, эти данные можно было бы ограничить так, чтобы злоумышленник при утечке не смог получить полную информацию о человеке. В таком случае ему придется пользоваться не одной базой данных, а несколькими, и соответственно покупать их. В результате стоимость установления информации о человеке будет повышаться.

Реклама

Реклама