В скором времени предполагается внедрение уголовной ответственности за кражу, распространение и использование персональных данных российских граждан, что может оказать значительное влияние на отечественные организации, работающие с большими объемами данных. Об этом сообщает издание «Коммерсант».
Журналисты подчеркивают, что данный вопрос вызывает серьезные опасения среди российских IT-стартапов и специалистов в сфере информационной безопасности. Причиной беспокойства является потенциальное замедление развития технологий искусственного интеллекта в России, поскольку для их функционирования используются значительные объемы информации.
Предложенный проект закона о введении уголовной ответственности за неправомерный сбор, использование и распространение конфиденциальной информации, в том числе и из утечек данных, вызывает серьезные вопросы в IT-сообществе, заявляют участники рынка и юристы.
Эксперты отмечают, что анализ представленных в документе формулировок показывает, что действие закона может быть распространено не только на киберпреступников и мошенников, но также на владельцев и руководителей российских компаний, собирающих большие данные из открытых источников и использующих эту информацию в своих разработках.
Директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александр Орехович отмечает, что проект закона предусматривает установление уголовной ответственности не только для лиц, незаконно распространяющих данные, но и для тех, кто использует эти данные.
Представители Ассоциации больших данных выражают опасения, что в Уголовный кодекс РФ может быть внесен состав преступления, при котором ответственность может быть возложена на обычных сотрудников российских организаций, не несущих ответственности за утечки данных. В связи с этим Ассоциация предлагает внести уточнения в статью 271.1 УК РФ, добавив условие о том, что информация использовалась и передавалась с заведомо незаконными намерениями.
Иван Король, разработчик бизнес-коммуникатора Anwork:
“Сегодня утечка корпоративных данных происходит не только из защищенных периметров компаний, но и через внешние каналы взаимодействия. Например, через общедоступные мессенджеры, безопасность которых много раз подвергалась критике. Именно популярные сервисы для общения сегодня лидируют по числу мошеннических действий. Кража аккаунтов, персональных данных, фишинговые сообщения и письма – вот основные инструменты злоумышленников в открытых чатах. А переход на удаленную работу стихийно сформировал ведение рабочей переписки в мессенджерах как новый рабочий инструмент. Общедоступные мессенджеры хранят всю историю переписок и обмена данных и становятся объектом для атак. К примеру, совсем недавно среди московских пользователей WhatsApp произошла масштабная фишинговая атака с целью взлома аккаунтов.
Бизнесу приходится платить за инциденты с утечками не только деньгами, но и потерей репутации. Поэтому рассмотрение введения уголовной ответственности – закономерный шаг. И только рассмотрение такой возможности уже должно привести компании к более серьезному подходу к защите данных. Кроме того, организациям стоит обратить внимание не только на защищенные цифровые решения для корпоративной связи, но и на круг сотрудников, которые имеют доступ к чувствительной информации и усиливать меры предосторожности для предотвращения утечек. Во внутренних регламентах следует прописывать уровни ответственности сотрудников за сохранность конфиденциальности данных компании, обмен которыми происходит во внешний периметр”.
Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:
“На данный момент обсуждаемые меры являются только проектом закона. Публикации подобного рода часто являются своеобразным тестом. Законодатели смотрят на реакцию сообщества, после чего законопроект подвергается правкам и улучшениям, и уже после этого рассматривается заново. Часто это может занять месяцы, а то и годы, как, например, мы наблюдаем в случае с оборотными штрафами, вопрос введения которых решается уже 2 года.
При этом инициатива представляет большой интерес. Ранее уже были прецеденты, когда к уголовной ответственности привлекали за нарушения работы с ПДн, если в деле участвовали объекты КИИ. Однако, по моему мнению, уголовная ответственность может рассматриваться только в том случае, если утечка ПДн повлекла за собой потерю/хищение денежных средств или причинение иного серьезного вреда субъектам”.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.