Такую точку зрения высказал заместитель директора ФСТЭК России Виталий Лютиков, комментируя вопросы наказания организаций за последствия от киберинцидентов.
Существует мнение, что необходимо наказывать компании за ущерб вследствие киберинцидентов, а не за нарушение требований ИБ. «Понятная позиция, но это ровным счётом то же самое, что в правилах дорожного движения наказывать за аварию с жертвами, но не за факт нарушения ПДД, – объясняет Лютиков. – Здесь может возникнуть такая же концепция».
Подобная модель имеет прав на существование, но исходя из имеющегося опыта, в таком случает «вообще никто ничего делать не будет, – говорит он. – Все будут говорить, что ничего не произошло. У нас сегодня есть много случаев, когда выявляется утечка (предположим, миллионные базы данных), и первая реакция, которую мы слышим в ответ – «ничего страшного не произошло, это открытая информация».
Подробнее: https://ib-bank.ru/bisjournal/news/17534