Секретарь синодальной комиссии по биоэтике протоиерей Александр Абрамов выступил 26 августа с заявлением, что персональные данные россиян нуждаются сегодня в максимально строгой законодательной защите, в особенности это относится к ДНК-пробам, результатам биомедицинских исследований, личной медицинской информации граждан. Священнослужитель убежден, что наказание за утечку таких сведений должно быть уголовным.
По словам протоиерея Александра Абрамова, церковь сейчас видит, что многие российские организации, осуществляющие сбор и обработку персональных данных, при совершении утечки информации зачастую отделываются минимальными денежными штрафами. Он подчеркнул, что ДНК-информация – это тоже персональные данные, поэтому за нарушение режимов сохранения биомедицинской информации необходимо применять уголовное наказание для провинившихся.
Александр Абрамов призвал при этом экспертов отрасли и общественные организации «организовать большую дискуссию» для определения того, какие именно категории данных необходимо сегодня в особенности защищать законодательно, потому что, как подчёркивает протоиерей, «диалог на тему защиты ПДн в сфере биомедицинских технологий пребывает в стране в зачаточном состоянии».
Эксперт также пояснил, что, по его мнению, все виды данных, с использованием которых можно идентифицировать конкретного человека, в первую очередь, его ДНК и иная частная медицинская информация, должны быть защищены в России на особом уровне. Александр Абрамов также призвал персональные данные россиян, в т. ч. и информацию о биомедицинских исследованиях, законодательно приравнять к служебной тайне, чтобы операторы должны быть обеспечивать соответствующее хранение, обезличивание и ограничение доступа к таким сведениям.
Протоиерей указал и на то, что при оказании различных медуслуг в России у граждан берут согласие на обработку данных, что предоставляет к ним доступ со стороны третьих лиц и организаций, однако «информированные согласия оформляются обычно на неоправданно длительные сроки», а «круг лиц, имеющих доступ к персональным данным пациентов, зачастую строго не определяется».
«Медицинские данные, действительно, критически важная информация, ее утечка может быть очень опасна. В период пандемии это стало понятно не только профессионалам из ИБ, но и широкому кругу лиц. Инсайдеры сливали данные, хакеры атаковали больницы. Тогда было понятно, что медорганизации недостаточно защищены, а сейчас, в условиях беспрецедентного роста киберугроз это стало и вовсе очевидно, потому что уровень оснащенности защитными средствами остается низким. Но сейчас регулирование внутри отрасли постепенно меняется, и вопрос защиты данных выходит на первый план, например, уже есть концепция Минздрава о повышении эффективности защиты информации в медицине.
Что касается наказания за утечки, то, конечно, действующие сейчас штрафы минимальные и не мотивируют организации к надежной защите. Но прежде, чем говорить об уголовной ответственности нужно дождаться введения оборотных штрафов, отработки этой практики. И только в случае ее неэффективности – ужесточать наказание. Потому что основная задача «не пугать» организации здравоохранения, а простимулировать их к внедрению защитных решений, которые соответствуют угрозам 2022 года. ИТ и ИБ кадры для здравоохранения не являются профильными, все-таки главная задача здравоохранения – хранить здоровье, а не данные, это отражается на финансировании этих направлений, поэтому проблемы с кадрами есть и сейчас. Уголовная ответственность, боюсь, сыграет в минус и приведет еще к большему дефициту ИБ кадров в медицине», — прокомментировал инициативу Алексей Парфентьев, начальник отдела аналитики «СёрчИнформ».
«С одной стороны, текущие штрафы за утечку персональных данных сегодня незначительны. С другой стороны, введение уголовной ответственности маловероятно, так как фактически может «задушить» бизнес, так как помимо финансовых потерь, имиджевых и репутационных рисков, добавляется уголовная ответственность.
В текущей ситуации гораздо более вероятным видится введение оборотных штрафов (% от годового оборота компании). В настоящий момент Минцифры готовит новую версию законопроекта об оборотных штрафах за утечку персональных данных. Введение оборотных штрафов позволит руководству бизнеса реально оценивать потенциальные риски и финансовые потери в случае утечки или компрометации персональных данных. Введение оборотных штрафов также положительно отразится на отношении руководителей к финансированию и выполнению необходимого комплекса требований по технической и организационной защите персональных данных.
Также в законопроекте планируется установить соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте. Штрафы планируют применять в два этапа: за первую утечку штраф будет фиксированным, его размер будет зависеть от объема и критичности данных. В случае повторной утечки применяется оборотный штраф.
В рамках законопроекта Минцифры планируется так же предусмотреть процедуру добровольной аккредитации компаний по критериям информационной безопасности. Подобная аккредитация может стать подтверждением организационных и технических мер, реализованных компанией для защиты своей инфраструктуры от утечек персональных данных. Настоящая аккредитация, безусловно, потребует проведения аудитов на регулярной основе специализированными компаниями, подтверждающих выполнение всех необходимых требований», — заявил Александр Дворянский, директор департамента информационной безопасности и специальных решений Sitronics Group.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.
