Минцифры РФ согласовало проект закона, в рамках которого предполагается ужесточить ответственность организацией за утечки личных данных россиян. В министерстве ранее предложили накладывать оборотный штраф в размере 1% от годового бюджета на компании, которые допустили массовые утечки персональных данных. 3% штрафа предусмотрено для организаций, которые старались скрыть такой инцидент безопасности, сообщает «Коммерсантъ».
В Минцифры РФ убеждены, что крупные денежные штрафы, связанные с годовым доходом компаний, позволят заставить организации предпринимать необходимые усилия в сфере улучшения своих систем информационной безопасности, защиты данных, хранения личной информации пользователей/клиентов.
На сегодняшний день, согласно действующему законодательству, операторы ПДн получают штраф в размере нескольких десятков тысяч рублей даже при серьезных утечках личной информации пользователей (например, сервис Яндекс.Еда был оштрафован за скандальную утечку данных клиентов всего на 60 тыс. рублей).
«Штрафы, которые сейчас предусмотрены для операторов ПДн, позволяют компаниям полностью игнорировать законодательство в сфере защиты такой информации. Поэтому введение оборотных шарфов, по мнению Минцифры РФ, позволит заметно снизить число инцидентов, связанные с массовыми утечками информации», – заявил представитель министерства.
По словам экспертов, операторами ПДн на территории РФ сейчас являются, по большому счету, все отечественные и иностранные компании, занимающиеся обработкой и хранением личной информации своего персонала и клиентов/заказчиков/покупателей. Специалисты отрасли уверены, что многие частные организации не располагают необходимыми средствами для защиты данных клиентов, а также зачастую делятся этой конфиденциальной информацией с третьими лицами в рамках договоров о сотрудничестве, либо продают её.
"Рассматриваемый законопроект – это важный шаг в законодательной базе по пути к более осмысленному использованию персональных данных. Ужесточение мер позволит сподвигнуть компании к усилению собственных средств информационной безопасности, что повлечет снижение потенциальных утечек. В целом в России недостаточно высокий уровень киберграмотности, компании с каждым годом сталкиваются с нарастающим числом утечек, при этом почти 80% из них приходится на инсайдеров. Будем надеяться, что новые правила изменят отношение компаний к информационной безопасности, в частности в вопросе обучения собственных сотрудников работе с конфиденциальными и персональными данными", — прокомментировал Сергей Тимошенко, коммерческий директор компании EveryTag.
«Считаю, предложенные меры станут сильной мотивацией для бизнеса пересмотреть свое отношение к безопасности клиентских данных. Страх потерять многомиллионные суммы заставит компании больше инвестировать в информационную безопасность. Так, большинству компаний потребуется ПО для оперативной установки факта утечки и его расследования. Но для начала нужно разобраться, что имеется ввиду под понятием «утечка данных», как такие ситуации классифицировать и какие штрафы назначать каждому классу утечек», — отметил Максим Вирченко, генеральный директор ITCOM Security.
"Использование меры по введению оборотного штрафа кажется логичным. При этом стоит учитывать, что для решения проблемы требуется комплексный подход, который способен повысить эффективность действующего законодательства и защитить интересы операторов и субъектов ПДн. Практика показывает, что использование DLP систем недостаточно для защиты данных, утечки всё равно происходят и в крупных масштабах. В современных реалиях нужно усиливать систему информационной безопасности, внедрять решения, которые контролируют доступ к конфиденциальной информации внутри периметра. Компаниям стоит задуматься о дополнительной защите в виде внедрения решений категории DCAP/DAG. При этом не каждая компания сейчас может выделить дополнительные бюджеты на новые решения, когда основной задачей является оперативное импортозамещение существующих систем.
Не стоит забывать об ущербе для физических лиц, чьи интересы защищает закон, а их данные при этом стабильно утекают в сеть. Человек может обратиться в суд и рассчитывать на взыскание морального вреда, но на практике это смешные суммы. При этом неизвестно, когда и каким образом злоумышленники воспользуются полученными данными, утечка может повлечь за собой вред здоровью и материальный ущерб, который не всегда так просто доказать.
Запуск программы в виде субсидирования закупок решений, направленных на защиту данных, оказал бы значительную поддержку современному рынку. Такое решение позволит защитить интересы непосредственно субъектов персональных данных, а также операторов персональных данных, вынужденных работать в условиях повышенного уровня киберугроз", — заявил Роман Подкопаев, генеральный директор Makves.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.
