За утечку данных миллиона клиентов МТС Банк может заплатить до 100 тыс. руб. Почему штрафы не действуют на корпорации? Всегда ли вина компании очевидна?
21 сентября 2023 года Правительство РФ предварительно одобрило законопроект об оборотных штрафах за утечку персональных данных. Но представители бизнеса выступили с критикой поправок. По мнению Ассоциации больших данных, они не стимулируют компании повышать уровень информационной безопасности, а только увеличивают давление на бизнес.
Существует мнение, что поправки вносят неопределенность в состав правонарушения. Поэтому в случае утечки данных даже соблюдение всех требований закона не убережет компанию от судебных разбирательств.
И как в этом случае действовать малому бизнесу, у которого нет денег ни на формирование полноценной системы безопасности, ни на оплату штрафов? Может, следить за каждым сотрудником, чтобы он случайно по телефону не передал контакты клиентов третьим лицам? Постараемся разобраться.
Тема персональных данных чувствительна для людей, но в текущем законодательстве практически отсутствуют нормы для вынесения ощутимого наказания компаниям, виновным в утечках.
Мы видим, как суды назначают штрафы крупнейшим российским IT-гигантам в размере 60–100 тыс. руб. — сумма, которую подобная компания платит в месяц одному студенту-практиканту.
В итоге операторы персональных данных в своем подходе к защите информации учитывают разве что свои репутационные риски. Им нечего опасаться. Базы обнародовали один раз, обнародуют снова — это не нанесет прямого финансового ущерба компании.
Закон о персональных данных должен действовать упреждающе. Если компания будет предупреждена о риске получить серьезный штраф, то она заранее начнет внедрять средства кибербезопасности. Но такой подход не работает при текущих суммах взысканий.
За первое нарушение будет фиксированный штраф в зависимости от количества пострадавших граждан. Если утекли данные 1–10 тыс. профилей, то он составит 3–5 млн руб, если 10–100 тыс. — придется заплатить 5–10 млн, за больший масштаб сведений — 10–15 млн руб.
При повторном нарушении компанию ждет штраф, который считается от выручки за предшествующий календарный год: в размере от 0,1 до 3%, но не менее 15 млн и не более 500 млн руб.
Больше всего вопросов вызывает первая фиксированная часть. Что такое 1 тыс. профилей? Это, например, небольшой интернет-магазин, перепродающий товары из Китая. Для бизнеса такого масштаба выплатить даже 3 млн руб. — задача неподъемная, а для большого маркетплейса — это совсем незаметная сумма.
А теперь представим, что тот самый частный интернет-магазин решит обезопаситься от штрафов. Как себя защитить?
Утечки могут происходить на разных уровнях:
Малые предприятия оказываются в тупике: ни защитить данные, ни оплатить штраф они не могут, потому что и то, и другое дорого. Изменить ситуацию может введение оборотных штрафов, при которых степень наказания будет релевантна размеру бизнеса.
Так, в конце октября подтвердилась информация о том, что хакеры получили доступ к личным сведениям более 1 млн клиентов МТС Банка. Закон еще не принят. Это означает, что сумма взыскания для организации составит всего около 100 тыс. руб.
Пострадает репутация банка, но в общем потоке утечек и при таком маленьком штрафе этот инцидент пройдет почти незаметно. А если бы закон уже был принят, издержки компании могли бы стать намного более ощутимыми — от 5 млн руб. И у такой серьезной организации были технические и организационные возможности заранее предотвратить утечку.
Кроме того, непонятно, с какого момента идет отсчет: с момента обнаружения утечки или после обнародования данных. Ведь информация может быть использована злоумышленниками только спустя месяц или больше после хакерской атаки или случайного раскрытия сведений.
По очевидной логике, если сотрудник скопировал чувствительные данные на флешку и потерял ее, это будет потеря персональных сведений, но еще не утечка. А вот когда носитель информации найдет и использует другой человек — это уже повод для присуждения компании штрафа.
А как доказать утечку? По закону организация обязана в течение суток уведомить Роскомнадзор, а в течение 72 часов — провести расследование и отчитаться. Но здесь тоже есть неочевидные нюансы.
Если утечка произошла с корпоративной почты или сервера, то технически ее достаточно просто обнаружить. Но представьте себе масштабную сеть оператора сотовой сети или ретейлера электроники с небольшими салонами в каждом городе. Как правило, там работают люди с очень скромными доходами. И для них предоставление контакта посторонним лицам — это просто один из способов заработать лишнюю тысячу рублей.
Как можно передать данные? Множеством способов: продиктовать вслух или сфотографировать на телефон, сделать скриншот и отправить его в личном мессенджере или просто запомнить. С таким распространением информации бороться техническими средствами практически невозможно.
Но в то же время подобная утечка незначительна и по объемам, и по определению. Фотографируя экран, данные тысяч человек не унесешь. Для продажи или присвоения больших объемов данных нужны другие каналы: почта, флешки, облачные хранилища. В этом случае эффективны технические меры, такие как намеренное ограничение количества доступных сотрудникам каналов, по которым можно передать данные.
Важно, что виновник утечки данных не всегда очевиден. Если в глобальную сеть попала база с данными дебетовых карт, то вина ли это банка? А вдруг сведения утекли от ретейлера? А может, это очередная обогащенная база, склеенная из разных источников?
На момент обнародования факта утечки источник данных может быть неизвестен. Тогда потенциальный виновник не сможет выяснить ничего ценного для регулятора, даже если проведет расследование.
Кроме того, в России распространена культура замалчивания проблем — если никто не узнал, то утечки как будто и не было.
Важно не допускать или хотя бы существенно минимизировать утечку данных заранее, а не только проводить расследования, когда подобные инциденты уже произошли. Предлагаемая новая редакция законопроекта должна стимулировать компании предвосхищать проблемы, а не разбираться с их последствиями.
Еще один важный нюанс, который нуждается в доработке, — законопроект никак не касается государственных учреждений, которые являются крупнейшими операторами персональных данных. В их базах хранятся не только имена, фамилии и телефоны пользователей, но и данные о доходах и налогах, детях, медицине и т.д.
Закон развивается уже больше десяти лет, на нем не было грифа секретности, он обсуждался в публичном поле. Крупные операторы персональных данных имели и время, и возможность пролоббировать свои интересы, но недоработки до сих пор есть.
И остается еще один вопрос: как государство использует полученные со штрафов деньги. Будет ли создан специальный фонд для возмещения ущерба пострадавшим от утечки данных гражданам? Люди остаются самым уязвимым звеном во всей этой цепочке, они никак не могут повлиять на защищенность своей информации.
Кроме того, можно инвестировать средства в цифровое просвещение населения: от обывателей и рядовых сотрудников организаций до руководства операторов персональных данных. Многие руководители даже IT-компаний до сих пор не понимают или не признают ценности систем защиты информации.
21 сентября 2023 года Правительство РФ предварительно одобрило законопроект об оборотных штрафах за утечку персональных данных. Но представители бизнеса выступили с критикой поправок. По мнению Ассоциации больших данных, они не стимулируют компании повышать уровень информационной безопасности, а только увеличивают давление на бизнес.
Существует мнение, что поправки вносят неопределенность в состав правонарушения. Поэтому в случае утечки данных даже соблюдение всех требований закона не убережет компанию от судебных разбирательств.
И как в этом случае действовать малому бизнесу, у которого нет денег ни на формирование полноценной системы безопасности, ни на оплату штрафов? Может, следить за каждым сотрудником, чтобы он случайно по телефону не передал контакты клиентов третьим лицам? Постараемся разобраться.
Кто страдает от утечки данных
Больше всех от утечек персональных данных страдают рядовые граждане. И если за рубежом во многих странах уже давно существует практика возмещения ущерба, то в России этого нет.Тема персональных данных чувствительна для людей, но в текущем законодательстве практически отсутствуют нормы для вынесения ощутимого наказания компаниям, виновным в утечках.
Мы видим, как суды назначают штрафы крупнейшим российским IT-гигантам в размере 60–100 тыс. руб. — сумма, которую подобная компания платит в месяц одному студенту-практиканту.
В итоге операторы персональных данных в своем подходе к защите информации учитывают разве что свои репутационные риски. Им нечего опасаться. Базы обнародовали один раз, обнародуют снова — это не нанесет прямого финансового ущерба компании.
Закон о персональных данных должен действовать упреждающе. Если компания будет предупреждена о риске получить серьезный штраф, то она заранее начнет внедрять средства кибербезопасности. Но такой подход не работает при текущих суммах взысканий.
Штрафы оборотные и фиксированные
Законопроект в действующей редакции не масштабируется в соответствии с размером бизнеса.За первое нарушение будет фиксированный штраф в зависимости от количества пострадавших граждан. Если утекли данные 1–10 тыс. профилей, то он составит 3–5 млн руб, если 10–100 тыс. — придется заплатить 5–10 млн, за больший масштаб сведений — 10–15 млн руб.
При повторном нарушении компанию ждет штраф, который считается от выручки за предшествующий календарный год: в размере от 0,1 до 3%, но не менее 15 млн и не более 500 млн руб.
Больше всего вопросов вызывает первая фиксированная часть. Что такое 1 тыс. профилей? Это, например, небольшой интернет-магазин, перепродающий товары из Китая. Для бизнеса такого масштаба выплатить даже 3 млн руб. — задача неподъемная, а для большого маркетплейса — это совсем незаметная сумма.
А теперь представим, что тот самый частный интернет-магазин решит обезопаситься от штрафов. Как себя защитить?
Утечки могут происходить на разных уровнях:
- через инфраструктурные уязвимости, например ошибки конфигурирования баз данных веб-сервера;
- через незащищенные компоненты локальной системы безопасности, когда сотрудники уносят данные на флешках, пересылают по почте, распечатывают и переписывают на бумагу от руки.
Малые предприятия оказываются в тупике: ни защитить данные, ни оплатить штраф они не могут, потому что и то, и другое дорого. Изменить ситуацию может введение оборотных штрафов, при которых степень наказания будет релевантна размеру бизнеса.
Так, в конце октября подтвердилась информация о том, что хакеры получили доступ к личным сведениям более 1 млн клиентов МТС Банка. Закон еще не принят. Это означает, что сумма взыскания для организации составит всего около 100 тыс. руб.
Пострадает репутация банка, но в общем потоке утечек и при таком маленьком штрафе этот инцидент пройдет почти незаметно. А если бы закон уже был принят, издержки компании могли бы стать намного более ощутимыми — от 5 млн руб. И у такой серьезной организации были технические и организационные возможности заранее предотвратить утечку.
Неоднозначные требования закона
К другим недостаткам законопроекта можно отнести все, что связано с доказательством утечки. Закон неоднозначно описывает даже само это понятие.Кроме того, непонятно, с какого момента идет отсчет: с момента обнаружения утечки или после обнародования данных. Ведь информация может быть использована злоумышленниками только спустя месяц или больше после хакерской атаки или случайного раскрытия сведений.
По очевидной логике, если сотрудник скопировал чувствительные данные на флешку и потерял ее, это будет потеря персональных сведений, но еще не утечка. А вот когда носитель информации найдет и использует другой человек — это уже повод для присуждения компании штрафа.
А как доказать утечку? По закону организация обязана в течение суток уведомить Роскомнадзор, а в течение 72 часов — провести расследование и отчитаться. Но здесь тоже есть неочевидные нюансы.
Если утечка произошла с корпоративной почты или сервера, то технически ее достаточно просто обнаружить. Но представьте себе масштабную сеть оператора сотовой сети или ретейлера электроники с небольшими салонами в каждом городе. Как правило, там работают люди с очень скромными доходами. И для них предоставление контакта посторонним лицам — это просто один из способов заработать лишнюю тысячу рублей.
Как можно передать данные? Множеством способов: продиктовать вслух или сфотографировать на телефон, сделать скриншот и отправить его в личном мессенджере или просто запомнить. С таким распространением информации бороться техническими средствами практически невозможно.
Но в то же время подобная утечка незначительна и по объемам, и по определению. Фотографируя экран, данные тысяч человек не унесешь. Для продажи или присвоения больших объемов данных нужны другие каналы: почта, флешки, облачные хранилища. В этом случае эффективны технические меры, такие как намеренное ограничение количества доступных сотрудникам каналов, по которым можно передать данные.
Важно, что виновник утечки данных не всегда очевиден. Если в глобальную сеть попала база с данными дебетовых карт, то вина ли это банка? А вдруг сведения утекли от ретейлера? А может, это очередная обогащенная база, склеенная из разных источников?
На момент обнародования факта утечки источник данных может быть неизвестен. Тогда потенциальный виновник не сможет выяснить ничего ценного для регулятора, даже если проведет расследование.
Кроме того, в России распространена культура замалчивания проблем — если никто не узнал, то утечки как будто и не было.
Будет ли польза от нового законопроекта
В целом сам факт того, что закон есть и он дорабатывается, — уже позитивный сдвиг для нашей страны. Любое повышение ответственности бизнеса — это драйвер для улучшения систем защиты.Важно не допускать или хотя бы существенно минимизировать утечку данных заранее, а не только проводить расследования, когда подобные инциденты уже произошли. Предлагаемая новая редакция законопроекта должна стимулировать компании предвосхищать проблемы, а не разбираться с их последствиями.
Еще один важный нюанс, который нуждается в доработке, — законопроект никак не касается государственных учреждений, которые являются крупнейшими операторами персональных данных. В их базах хранятся не только имена, фамилии и телефоны пользователей, но и данные о доходах и налогах, детях, медицине и т.д.
Закон развивается уже больше десяти лет, на нем не было грифа секретности, он обсуждался в публичном поле. Крупные операторы персональных данных имели и время, и возможность пролоббировать свои интересы, но недоработки до сих пор есть.
И остается еще один вопрос: как государство использует полученные со штрафов деньги. Будет ли создан специальный фонд для возмещения ущерба пострадавшим от утечки данных гражданам? Люди остаются самым уязвимым звеном во всей этой цепочке, они никак не могут повлиять на защищенность своей информации.
Кроме того, можно инвестировать средства в цифровое просвещение населения: от обывателей и рядовых сотрудников организаций до руководства операторов персональных данных. Многие руководители даже IT-компаний до сих пор не понимают или не признают ценности систем защиты информации.