Представители ИБ-компаний АПКИТ приняли участие в думской дискуссии по законопроекту об оборотных штрафах за утечку персданных. Этот законопроект обсуждается с 2022 г. Представители АПКИТ в дискуссии с руководством Минцифры указывали на неизбежные риски для всех видов бизнеса, при том, что ИБ-бизнес понимает, что следствием принятия закона будет существенный приток денег в индустрию.
Соответствующие поправки в Административный и Уголовный кодексы в Госдуму внесла группа сенаторов и депутатов в середине прошлого года. В первой версии предлагалось увеличить штрафы для юрлиц до 3–5 млн руб., если утечка затрагивает от 1 до 10 тыс. субъектов персональных данных (граждан); до 5–10 млн руб., если затрагивает от 10 до 100 тыс. субъектов и до 10–15 млн руб., если более 100 тыс. субъектов. За повторное нарушение, независимо от объема утекших данных, предлагалось ввести штраф в размере от 0,1 до 3% годовой выручки за предшествующий календарный год или за часть текущего года. При этом минимальный штраф должен составить 15 млн руб., а максимальный — 500 млн руб.
Некоторые тезисы встречи:
Александр Хинштейн, председатель комитета Госдумы по информационной политике отметил неизбежность и обоснованность усиления борьбы с утечками, а значит, и обоснованность законопроекта. Также он отметил три смягчающих обстоятельства. Одно из них – объем потраченных в течение трех лет средств на защиту информбезопасности на предприятии (0.1% от оборота).
Александр Белявский, компания «Зекурион»: Данный законопроект - это императивный стимул для компаний, хранящих персональные данные, для усиления их архитектуры информационной безопасности. В настоящее время у большинства компаний есть возможность избежать утечки и ввести внутренние регламенты для усиления безопасности.
Владимир Волошин, Минэкономразвития России: Наши производители ИБ считают, что в настоящее время в стране имеются все решения для защиты данных, в связи с этим будет справедливо распространить оборотные штрафы за утечки персональных данных на поставщиков решений в области информбезопасности. Если бы данный законопроект приняли год назад, то его реализация могла бы привести к тому, что четыре из пяти компаний малого и среднего бизнеса, попавших под подобные штрафы, оказались бы на грани банкротства.
Виталий Лютиков, ФСТЭК России: В основе любых вложений в системы ИБ лежит вопрос материальной целесообразности. Повышение размера штрафов должно заставить компании перейти от формального выполнения требований к ИБ к реальной работе по повышению защищенности. В 2024-м служба проверила более 100 организаций и выяснила, что базовый уровень безопасности обеспечивают лишь 10% из них, в 39% уровень защиты информации был низким, в 51% — катастрофическим. Ответственность за утечки должны нести не только операторы персональных данных, но и разработчики ИБ решений, в том случае, если причиной утечки стала уязвимость в программном обеспечении. А если интегратор или центр мониторинга информационной безопасности (Security Operations Center, SOC) не отреагировали на события в части безопасности должным образом, то отвечать должны и они.
Сергей Шерстобитов, группа компаний Angara Security: Отрасль ИБ не совсем готова к такому объему спроса на ИБ решения.