«Известия» на днях вбросили тему наказаний за утечки персональных данных – 10 лет без права занимать должность главного ИБ-эшника в банках или других похожих организациях типа МФО, страховых компаний и проч.
Тимур Аитов, председатель комиссии по финансовой безопасности Совета ТПП РФ
Почти все бизнес-СМИ заметку перепечатали и уже обсуждают с экспертами – много ли это 10 лет или мало? Справедливо ли такое наказание или нет, особенно, когда утечка произошла не по вине первого лица, а по вине какого-то инсайдера? Напоминают, что «привычное» наказание (законодательная норма за финансовое преступление) всего от полугода до 3-х лет, ну и так далее. Повысятся ли зарплаты в ИБ? Помогут ли штрафы? Насколько повлияет само наказание или даже грядущая возможность этого наказания на реальное положение дел с утечками?
Оштрафуем за все
Конечно, огромные утечки персональных данных здорово раздражают всех – и правоохранительные органы, и банки, и, главное, граждан, которые жалуются, что им постоянно звонят «социальные инженеры» и похожие злоумышленники, которые знают буквально о них всё. Ясно, что перекрыть канал утечек, не допускать их впредь, всем хочется, причем, не только у нас. Весомый штраф за утечки уже работает в ЕС – там существует единая законодательная норма, которая действует на все страны ЕС, это свод законов GDPR. В соответствии с этой нормой организация, которая допустила утечки, сурово наказывается. «Легкая» форма наказания только за то, что компания не известила о факте утечки, предусматривает штраф в 2% оборота организации за предыдущий финансовый год, но не более 10 млн евро.
Повод наказать возникает, даже если нет Data protection officer в компании или нарушена техническая подкладка шифрования данных в процессе их обработки и хранения. При более серьезных нарушениях размер штрафа может составлять до 20 миллионов евро или до 4% от оборота за предыдущий финансовый год, в зависимости от того, что больше. Есть и «пострадавшие» от жёстких мер GDPR. Самыми крупными считаются две компании – одна популярная международная социальная сеть с суммой штрафа в 1,2 млрд. евро за трансфер данных в США и компания Amazon, со штрафом в сумме 746 млн. евро за адресную рекламу без согласия пользователей
Похожую на GDPR норму предлагают ввести и наши депутаты – возможно, грядущей осенью норма приобретет статус законопроекта (имею в виду штрафные отчисления от оборота в 3-4%). Как повлияет это на утечки? Будут ли поступать в казну весомые штрафы? Ответ, по крайней мере, у юристов уже готов – штрафы возможны, но только если удастся доказать факт утечки и вину организации, её допустившей.
Согласие как продукт при полном непротивлении сторон
Ясно, что организации будут всячески открещиваться от своих утечек ПД и вряд ли можно представить тех, кто добровольно о фактах утечек будет сообщать – даже если за добровольное признание будут давать скидку. Поэтому штрафов, на самом деле, будет немного – банковские юристы не зря свой хлеб едят. Когда штрафы же будут начислены, усиления финансирования мер ИБ в конкретной компании, увы, ожидать тоже вряд ли следует – прямой связи между уровнем финансирования и утечками на самом деле нет. Возможности ибэшника банка (которого и собираются наказывать) тоже на самом деле ограничены, а решение проблемы утечек как комплекса работ лежит скорее в области ИТ-архитектуры и администрирования информационной системы компании в целом, не только в сфере активности службы ИБ.
Очевидно пока одно – суммы штрафа, который возможно и выплатит организация, будут явно переложены на пострадавших клиентов – то есть, на нас с вами. И у того же телекома, допустившего утечку, мы поэтому пострадаем дважды – и персональные данные у нас украдут, и за утечку опять-таки мы и заплатим – телелеком повысит тарифы, чтобы собрать дополнительные миллиарды в оплату.
Сакральная жертва ИБ
В заключение – самые «едкие» вопросы. Главный из них – почему вообще не обсуждается тема компенсации ущерба субъектам ПД? Ведь и список пострадавших имеется, и пострадавшие именно те, у кого украли ПД – у них риски атак социальных инженеров явно возрастут. А возвращаясь к самому главному вопросу, как новая инициатива повлияет на утечки, на него уже готов и ответ – зарплата у директоров компаний по ИБ возрастет – просто потому, что серьезно возрастут риски пребывания на должности главного по ИБ. От непредсказуемых утечек застраховаться невозможно, поэтому он станет их главной жертвой – сакральной жертвой ИБ.