Создание фонда компенсаций для жертв утечек баз персональных данных: плюсы и минусы | 360°

Эксклюзив

25 октября 2022, 02:20

IT-компании не поддержали идею фонда для пострадавших от утечек данных. Они не хотят платить из своего кармана

Эксперт по инфобезопасности Масалович: IT-компании не хотят платить пострадавшим от утечек

Читать 360 в

За последний год в России резко увеличилось число утечек персональных данных. Только за первое полугодие в Сети оказались более 300 таких баз. которые содержали почти 188 миллионов записей. При этом Ассоциация больших данных (АБД) раскритиковала идею по созданию фонда компенсаций для жертв утечек. Эксперты уверены — компании против, поскольку им придется раскошелиться.

Фонд

Фонд материальной компенсации для пострадавших от утечек баз данных предложили создать в Минцифры. Ведомство планирует пополнять его из оборотных штрафов тех организаций, чьи системы были скомпрометированы и привели к утечкам персональных данных. Речь идет о сумме в 1% от годового оборота компании.

Реклама

Но IT-компании сочли это нецелесообразным, сообщил «Коммерсант». Их смутила «непредсказуемость» фактических сумм, а также единая методика расчета компенсации. Последняя не будет учитывать защищенность и степень виновности компании. Представители рынка сходятся во мнении, что это «демотивирует инвестировать в кибербезопасность».

Эфемерная конструкция

Эксперт по кибербезопасности, директор и партнер «Интеллектуальный Резерв» («ИТ-Резерв») Павел Мясоедов в беседе с «360» отметил, что эксперты придерживаются единого мнения по вопросу создания фонда. Они считают, что это очень эфемерная конструкция.

«Непонятно, как будут оценивать ущерб по тому или иному делу, непонятно, как этот фонд будет наполняться. Ходят некоторые разговоры о том, что он вроде как должен наполняться частично из каких-то федерально-государственных источников, тогда вообще не очень понятно, в чем эта цель, к чему там организации крупные и частные должны быть инициаторами фонда», — отметил Мясоедов.

Еще одна проблема кроется в том, как будет происходить компенсация при определении ущерба по тому или иному делу: ведь фонд может иссякнуть.

Компаниям придется раскошелиться

Компании против, поскольку им придется раскошелиться, чтобы была какая-то ответственность, предположил в беседе с «360» президент «Консорциум Инфорус», известный российский эксперт в области конкурентной разведки, кандидат физико-математических наук Андрей Масалович.

«Что такое любые фонды — это где-то насобирать денег на заявленную цель, а потом их на эту цель тратить», — пояснил он.

В утечках данных участвуют не только люди, информация о которых содержится в этих базах, но и крупные игроки, которые такие базы собирают - банки, сервисы доставки, магазины. И если цель заключается в том, чтобы защитить людей, первое, что приходит в голову, — сделать фонд, в который войдут именно владельцы таких баз данных. В таком случае, пострадавший от утечки получит компенсацию из этого фонда, куда вложат средства компании, из базы которых могут утечь в Сеть.

«А поскольку рынок и правоприменение до сих пор до крайности сырые, распределение ответственности тоже до крайности сырое, то я больших игроков понимаю. Они к этому относятся, мягко говоря, настороженно и отрицательно, потому что по их карману ударит сразу, а как им отстроить линию защиты — непонятно», — пояснил собеседник «360».

Компаниям придется платить дважды — один раз сдаваться в этот фонд, второй раз из этого фонда выплачивать и его пополнять. Масалович отметил, что так представляет себе эту схему, но добавил, что глубоко в этот вопрос не вникал.

Плюс инициативы

Плюс в таких инициативах в том, что это вектор безопасности, заявил Масалович. По его словам, безопасность  — это не состояние, а процесс.

«Состояние безопасности — это как справка об отсутствии беременности или справка об отсутствии СПИДа — она действительна 10 минут, пока вы не вышли из кабинета. Поэтому для повышения нашей безопасности — это шаг в правильном направлении, просто потому, что он шаг. Мы не стоим на месте, а хотя бы что-то делаем», — объяснил он.

Однако Масалович заявил, что пока не видит плана, который можно изложить на листе и шаг за шагом внедрять, чтобы защитить данные.

Коллективный иск

Более эффективной мерой, по мнению Мясоедова, стал бы механизм коллективных исков. Такой метод используют на Западе - как раз в борьбе с крупными утечками. Собеседник «360» представил ситуацию, при которой по вине какой-то конкретной организации произошла утечка персональных данных. В результате этого нанесен колоссальный ущерб, люди понесли большие финансовые потери, а в этом фонде нет достаточного количества денег. А если средства есть, то, в любом случае, эта компания лишь частично компенсирует людям ущерб, а также частично понесет какое-то наказание просто заранее направив деньги в фонд.

«То есть, для нее это не является достаточной мотивацией впоследствии защищать свои базы данных клиентов», — заметил Мясоедов.

По мнению Мясоедова, пока, как минимум, не понятно, как будет функционировать фонд. Как максимум — он контрпродуктивен. Фонд не будет действительно наказывать крупные организации и подталкивать их к полноценной защите персональных данных, в отличие от системы коллективных исков.

Коллективный иск работает по-другому: идет прямая корреляция между действием и последствиями. Если бы такая система развивалась, она бы работала действительно эффективно. Она стала бы мерой, которая подстегнула крупных игроков завершить вопросы, связанные с кибербезопасностью до какого-то более менее адекватного уровня.

Реклама

Реклама