Минцифры РФ предложило использовать портал «Госуслуги» для оформления заявлений на получение компенсаций за утечки личных данных. Министр цифрового развития Максут Шадаев выступил с этим предложением на прошедшей накануне конференции издания «Ведомости» «Телеком: трансформация бизнес-моделей и поиск новых решений», сообщает ТАСС.
В соответствии с инициативой, озвученной министром, если оператор ПДн подтвердит допущенную им утечку персональных данных, то ему потребуется разместить соответствующую информацию в публичных источниках. После этого будет предоставлено некоторое количество времени, в течение которого все пострадавшие от ИБ-инцидента лица смогут с использованием портала «Госуслуги» направить запрос с заявлением о получении компенсации.
Максут Шадаев также указал на то, что реализация подобного механизма позволит снизить размер оборотного штрафа для российских компаний, которые допустили утечку персональных данных. В том случае, если организация добровольно согласится выплатить денежные компенсации напрямую всем пострадавшим российским гражданам, это станет смягчающим фактором при назначении штрафа для оператора, который допустил подобный инцидент информационной безопасности.
Реализация подобного механизма, по словам министра цифрового развития, уже обсуждалась с крупнейшими российскими операторами ПДн, а также с другими игроками рынка. Практически все участники этого обсуждения признали этот механизм рабочим. Такой подход к компенсации за утечку данных может стать важным шагом в защите личной информации российских граждан и повышении ответственности операторов, резюмировал глава Минцифры РФ.
Николай Антипов, руководитель департамента консалтинга центра информационной безопасности компании «Инфосистемы Джет», завяил: “В соответствии с последними изменениями 152-ФЗ «О персональных данных» операторы ПДн должны уведомлять Роскомнадзор в случае выявления факта утечки ПДн в течение 24 часов с момента обнаружения инцидента. В уведомлении должна содержаться информация о предполагаемых причинах утечки, нанесенном вреде, принятых мерах по устранению последствий. Уведомление подается через портал «Госуслуги», и если к информации в уведомлении добавить перечень пользователей, данные которых «утекли», то в перспективе может быть реализован механизм автоматического уведомления этих пользователей через портал «Госуслуги». Это позволит не пропустить информацию об утечке, которая, в соответствии с предлагаемой инициативой, должна быть размещена в открытых источниках.
При этом к самой инициативе уже сейчас возникает довольно много вопросов: как корректно определить нанесенный вред, как рассчитать размер компенсации и убедиться, что он достаточен, насколько сильно «смягчит» штрафы готовность выплатить компенсацию со стороны оператора ПДн. Также сейчас непонятно, будет ли различаться ответственность за утечку для тех компаний, которые реализовали защитные меры, и для тех, которые ничего не делали или сделали недостаточно. Также пока неясно, как определить достаточность мер. В общем, ИБ-сообщество с нетерпением ждет, когда текст проекта будет доступен для ознакомления”.
Владислав Михайлов, Начальник отдела внедрения «Астрал.Безопасность», подчеркнул: “На текущий момент в инициативе недостаточно конкретики. Многое будет зависеть от того, насколько качественно будет проработан законопроект и в чьих интересах. Если размер компенсации будет определяться оператором, то чем он будет руководствоваться при принятии решения? Будет ли минимальный порог? Что будет, если пострадавший не согласен с суммой компенсации? Как будут оповещаться пострадавшие граждане? Сколько дней дадут на раздумье?
Кроме того, Максут Шадаев упомянул, что компенсации могут быть в виде бонусов или скидок, что позволит некоторым компаниям начать злоупотреблять этим. Что помешает выдать человеку N-ое количество бонусов на товары/услуги, которые ему сейчас не нужны, а по истечению, скажем, 2-х недель эти бонусы сгорят? В этом случае пострадавший даже не успеет ими воспользоваться, просто потому что ему в тот момент ничего не было нужно. А может быть и другая ситуация: Допустим, если установят минимальный размер компенсации в 10 000 рублей. Для примера вспомним недавнюю крупную утечку в Яндекс.Еда — почти 7 млн записей. Умножим 7 млн на 10 000 и получим крайне большую сумму, которая может принести финансовый ущерб даже крупному бизнесу.
Пока что вопросов крайне много. Если законодателям всё же удастся выпустить закон, который будет действовать в интересах всех участников, то это безусловно положительно скажется на общем уровне информационной безопасности, т. к. операторы персональных данных будут тщательнее их защищать и создадут дополнительный стимул в развитии технологий защиты за счет повышения спроса и роста компетенций“.
Анатолий Сазонов, руководитель направления безопасности промышленных предприятий Infosecurity a Softline Company, отметил: “Нормотворческое законодательство по вопросам обработки и защиты ПДн последовательно упорядочивается государством, а введение оборотных штрафов – одна из таких инициатив. Законопроект об оборотных штрафах уже практически готов к принятию.
При этом сейчас нет определенного механизма, при котором пострадавшие от утечек ПДн могут получить гарантированную компенсацию. При прошлых крупных утечках ПДн силами инициативных юридических организаций были поданы коллективные иски, однако результативность таких исков остается достаточно низкой. Так что при должных усилиях регуляторов такая схема должна быть эффективной, вместе с тем подстегнув операторов ПДн к выстраиванию реальной системы защиты ПДн. Что же по поводу ответственности операторов, то она повысится, когда собственники и топ-менеджмент крупных операторов ПДн взвесят риски и поймут, что в нынешних условиях введения высоких оборотных штрафов и возможных компенсаций пострадавшим лицам будет проще и эффективнее заняться реальными ИБ-процессами в организациях, в том числе, связанными с защитой ПДн”.
Роман Писарев, Руководитель департамента аудита и консалтинга, iTPROTECT: “Инициатива Минцифры РФ о компенсации ущерба пострадавшим от утечек персональных данных субъектам – шаг однозначно правильный. За штрафованием и наказанием операторов ПДн права обычных граждан отодвигались на второй план. От того, какой штраф заплатит тот или иной оператор ПДн, обычным пользователям легче не станет. Выдвинутая инициатива призвана поправить эту ситуацию. И если в Европе, в рамках GDPR, гражданам помогают частные организации, зачастую небесплатно, у нас этим будет заниматься государство.
Однако инициатива ещё требует проработки и детализации. Во-первых, мы могли бы посоветовать предусмотреть схему оценки ущерба и определения предельной суммы компенсации. Например, в США известен случай, когда из-за большого количества пострадавших от утечки пользователей и небольшой общей суммы, они получили по 3-5 долларов на человека. Представьте, что после утечки ПДн в одном из ведущих интернет-магазинов, пострадавшие получили бы по 100 рублей. Компенсация не очень большая, и вряд ли окупит возможный ущерб.
Во-вторых, указано, что компенсация пострадавшим может стать смягчающим обстоятельством и поспособствовать снижению штрафов. Однако стоит предусмотреть меры для предотвращения использования компенсаций пострадавшим в качестве лазейки для снижения суммы штрафов. В-третьих, надо учесть, что не все граждане имеют личные кабинеты на портале Госуслуг, часть из них может не успеть подать заявление или не сможет разобраться с функционалом. На этот случай стоит предусмотреть альтернативный, максимально доступный способ обращения. Также, возникает вопрос способа оценки размера компенсации. Здесь в целом стоит продумать вопрос правового урегулирования.
Однако еще раз повторю, что это шаг в верном направлении, т.к. регуляторы не просто прорабатывают способы наказания операторов за неподобающую защиту ПДн, но и ищут, как позаботиться о пользователях, непосредственно пострадавших от утечек”.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.