Специалисты по информационной безопасности в России оказались в непростой ситуации: выполнение их профессиональных обязанностей теперь может привести к уголовному преследованию. Это стало следствием обновления законодательства о защите персональных данных, в котором не учтены специфические задачи ИБ-отрасли. В результате компании, обеспечивающие киберзащиту, оказались в правовом тупике: их сотрудники должны выявлять уязвимости, но рискуют столкнуться с санкциями за доступ к конфиденциальной информации.
Как изменилось законодательство?
Поправки к Федеральному закону №152 «О персональных данных» существенно ужесточили контроль за обработкой информации. Теперь за любые нарушения, связанные с утечками или неправомерным доступом к персональным данным, грозят не только административные штрафы, но и уголовные санкции. Хотя изначально изменения были направлены на защиту данных граждан и предотвращение утечек, они также создали правовые барьеры для работы киберспециалистов.
Ситуация осложняется тем, что эксперты по безопасности, тестирующие системы на устойчивость к атакам, фактически подпадают под те же юридические нормы, что и киберпреступники. При этом их работа направлена на защиту информации, а не на её компрометацию. Теперь даже легитимная деятельность по анализу защищённости ИТ-инфраструктуры может рассматриваться как нарушение закона.
Какие последствия это может иметь для отрасли?
Если ситуация не изменится, отрасль информационной безопасности в России столкнётся с рядом серьёзных проблем:
- Отток специалистов. Опасаясь уголовного преследования, многие профессионалы могут либо сменить сферу деятельности, либо эмигрировать в страны с более чётким законодательным регулированием.
- Снижение уровня киберзащиты. Компании, работающие в сфере ИБ, будут вынуждены ограничить свою деятельность, что приведёт к увеличению числа атак и утечек данных.
- Рост теневого рынка. Запреты не ликвидируют спрос на услуги специалистов по защите данных, но могут вынудить их работать вне официального поля.
Возможные пути решения
Понимая критичность ситуации, Минцифры России совместно с представителями бизнеса и Советом Федерации инициировало обсуждение возможных поправок к закону. Среди предложенных решений:
- Введение исключений для ИБ-специалистов. Компании, официально работающие в сфере кибербезопасности, должны получить чёткий правовой статус, позволяющий им работать с персональными данными без риска уголовного преследования.
- Разработка специализированных нормативных актов. Возможно создание отдельных правил работы для организаций, занимающихся защитой информации, с чётким разграничением их деятельности от преступных действий.
- Уточнение формулировок в законе. Важно разделить намеренные преступные действия и профессиональную деятельность по тестированию защиты.
Что будет дальше?
Пока вопрос остаётся открытым. Если правки не будут приняты в ближайшее время, это может нанести серьёзный ущерб всей отрасли информационной безопасности. В условиях глобального роста киберугроз стране важно не только защищать персональные данные, но и создавать условия для работы специалистов, обеспечивающих эту защиту.
Рынок кибербезопасности в России нуждается в грамотном законодательном подходе, который позволит защитить граждан от утечек, а специалистов – от необоснованных обвинений. В противном случае рискованная правовая неопределённость может привести к потере кадров и росту киберугроз, от которых уже некого будет защищать.