Оборотные штрафы за утечку персональных данных

13.01.2023
05/09/23
Б-152
Оборотные штрафы за утечку персональных данных
Законопроект, вводящий оборотные штрафы за утечку персональных данных, находится в финальной стадии и может быть принят в ближайшее время. Это значит, что компаниям уже сейчас необходимо задуматься о повышении уровня информационной безопасности, так как штрафы за утечку данных перестанут быть формальностью. Как законопроект отразится на защищённости компаний на практике, кто из сотрудников будет нести ответственность за инциденты и как теперь строить взаимодействия с подрядными организациями — в нашем сегодняшнем материале.

Влияние инициативы на защищенность данных и ИБ-организаций

Существующие штрафы за утечку персональных данных в России несопоставимы с реальным ущербом. Инцидент может навредить лишь репутации компании, но, как показывает практика, серьёзных проблем это не вызывает, особенно после ухода почти всех иностранных компаний с российского рынка.
На текущий момент указанные в законодательстве РФ штрафы являются незначительными, что позволяет большинству операторов игнорировать негативные последствия возможных утечек информации. Можно смело утверждать, что единственным существенным риском для компаний в таких условиях является потеря репутации на рынке (чаще всего некритичная), не подкрепленная материально.
Василиса Скидан, «Информзащита»
Цель законопроекта об оборотных штрафах — ввести реальную ответственность за инциденты, чтобы заставить компании инвестировать в кибербезопасность, защищать данные своих клиентов. Утечки в последние 2 года стали настоящей проблемой российского бизнеса, решение которой кроется в новом законопроекте.
Утечки персональных данных на сегодняшний день стали обыденностью. Количество инцидентов ежегодно увеличивалось в разы. Но 2022 и 2023 год бьют все рекорды. Увы, даже высокий риск потери данных, доверия клиентов и партнеров не всегда для руководителей компаний являются весомым аргументом для выстраивания системы защиты информации.
Оборотные штрафы должны заставить компании задуматься, что выгоднее: инвестировать в кибербезопасность или платить огромные деньги за инциденты.
Максим Лагутин, «Б-152»
Оборотные штрафы — это один из самых эффективных вариантов борьбы с утечками. Именно отсутствие реальной ответственности привело к ситуации, когда для компаний нет мотивации инвестировать в безопасность. Существующие стандарты и лучшие практики подразумевают выделение служб информационной безопасности, назначение ответственных и т. п. В реальности все это есть, но структура рисков компании до оборотных штрафов такова, что выделение денег не имеет смысла. После появления оборотных штрафов ситуация может измениться в лучшую сторону, но необходимо качественное администрирование (исполнение). При этих двух условиях компании будут инвестировать в безопасность.
Евгений Царёв, «RTM Group»
Новый уровень ответственности за утечки точно внесёт изменения в существующие системы защиты. Эксперты считают, компании начнут выстраивать процессы, привлекать специалистов и применять инновационные средства защиты информации.
Увеличения размера штрафов за утечку ПДн, введение оборотных штрафов должно существенно повлиять на пересмотр руководителями компаний отношения к вопросам по информационной безопасности. Ожидаем, что компании с низким уровнем зрелости начнут выстраивать процессы защиты персональных данных с выполнения требований ФСТЭК и ФСБ, а компании со зрелым уровнем ИБ будут заказывать работы по выстраиванию системы защиты информации с учетом лучших мировых практик и применения средств защиты информации отечественных производителей, но более высокого класса решений, таких как XDR, SOAR, WAF, NGFW.
Новый уровень ответственности также позитивно скажется на темпах развития отечественных ИБ-компаний, у которых точно станет больше клиентов и важных задач.
Максим Лагутин, «Б-152»
Для ИБ-компаний, инициатива оборотных штрафов открывает новые возможности и вызовы. Они могут сыграть важную роль в создании более безопасной цифровой среды и помочь организациям эффективно справляться с рисками связанными с утечками данных.
Александр Зубриков, ITGLOBAL.COM Security

Функционал роли и ответственность лиц, ответственных за персональные данные в организациях. Что может измениться

Часто проблема утечек и защиты информации в целом заключается в неправильном распределение ролей. Функции специалиста по защите информации в компании может выполнять обычный IT-специалист или даже юрист.
Если раньше роль ответственного за защиту персональных данных могли выполнять юристы и ИТ-специалисты, то теперь для руководителей компаний весомый повод нанять штатного специалиста по защите информации либо привлечь специалистов компаний-лицензиатов ФСТЭК для оказания услуг по контролю за защищенностью персональных данных.
Максим Лагутин, «Б-152»
Новый уровень ответственности должен спровоцировать и пересмотр ролей в компании. Вероятнее всего, осуществлять контроль за защитой информации будут представители высшего менеджмента, заинтересованные в сохранение бюджета. Возможно, будут привлекаться сторонние специалисты, заказываться аудиторские услуги и прочее.
Мы, как и другие представители отрасли, ожидаем, что в ближайшее время обязанности и требования к сотрудникам организаций, ответственным за ИБ и защиту персональных данных, существенно возрастут. Функции по защите информационной безопасности должны также возлагаться на непосредственное руководство и высший менеджмент. Только так можно повысить заинтересованность руководителей компаний в росте уровня защищенности конфиденциальности данных. Именно от руководства должна исходить инициатива по усовершенствованию системы безопасности компании, росту осведомленности сотрудников о рисках ИБ и ответственности за нарушение действующего законодательства РФ.
Новый законопроект может ввести и персональную ответственность для должностных лиц, которые отвечают за информационную безопасность в компании.
Дмитрий Хомутов, «Айдеко»
В случае утверждения предложенной редакции КоАП РФ неизбежно повышение ответственности для должностных лиц, назначенных на роли ответственных за организацию обработки персональных данных (в соответствии со ст. 18.1 № 152-ФЗ) и ответственных за обеспечение безопасности персональных данных, обрабатываемых в информационных системах (в соответствии с п. 14 № 1119-ПП РФ). Повышение уровня ответственности при сохранении первоначальных обязанностей и трудовых функций спровоцирует необходимость повышения уровня заработной платы и вероятное снижение престижа подобных должностей и их потенциальной привлекательности для соискателей.
Василиса Скидан, «Информзащита»

Возможные изменения механизма взаимоотношений с подрядчиками, пострадавших в результате утечки

Часто вина за утечку данных ложится не на компанию-оператора персональных данных, а на различных подрядчиков, оказывающих услуги. Представители компаний редко задаются вопросом обеспечения информационной безопасности в подрядной организации, хотя последствия утечки точно отразатся на её работе. Так что же будет, когда оборотные штрафы вступят в действие?

Максим Лагутин из «Б-152» считает, что должен увеличиться контроль при выборе и взаимодействии с подрядчиками, соблюдении принципа предоставления «наименьших привилегий». Важным станет ещё до заключения договора получить ответы на следующие вопросы:

  • Как они планируют обеспечить защиту передаваемых им персональных данных?

  • Как они управляют собственными рисками, связанными с угрозами нарушения ИБ, и могут ли они предоставить информацию по обеспечению безопасности внутри компании?

  • Каков их план аварийного восстановления и обеспечения непрерывности бизнеса в случае возникновения инцидента, затрагивающего вашу компанию?

  • Как будет организован процесс информирования об инцидентах, связанных с нарушением защищенности переданных персональных данных?
Эти вопросы могут быть представлены в виде тендерных требований к участникам закупки (конкурса). В обязательном порядке должны быть предоставлены гарантии безопасности переданных персональных данных.
Максим Лагутин, «Б-152»
Пока неизвестно, будет ли в законопроекте обозначена ответственность подрядчиков или механизмы взаимодействия для обеспечения безопасности данных. Однако, некоторые эксперты уже предлагают решения для компаний, которые столкнулись с утечкой данных по вине подрядчика:
Вообще в обработке часто участвуют несколько лиц. Например, разработчики информационных систем арендуют цоды, хостинги, или привлекают иные компании. И утечки часто происходят через таких лиц. Так вот операторы при факте утечки и последующем наложении штрафа смогут требовать в порядке регресса возмещение от таких лиц. Думаю, при новых реалиях и рисках операторы будут перераспределять ответственность с такими компаниями.
Законопроект об оборотных штрафах за утечки персональных данных — важный шаг для развития отрасли информационной безопасности в стране и в компаниям, в частности. Инициатива в долгосрочной перспективе поможет снизить количество инцидентов и заставить компании инвестирования в безопасность данных столько, сколько требуется. Не останутся в стороне и ИБ-компания, предлагающие аудиторский и другие услуги, а также разрабатывающие средства и решения для защиты данных.
Евгений Царёв, «RTM Group»
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме