Перейти к основному контенту
Эксклюзивы РБК ,  
0 

Минэк предложил штрафовать разработчиков антивирусов за утечки данных

Минэк предложил распространить оборотные штрафы за утечки персональных данных на поставщиков решений инфорбезопасности. В противном случае, введение штрафов приведет к банкротству четырех из пяти компаний малого и среднего бизнеса
Фото:  ponsulak / Shutterstock
Фото: ponsulak / Shutterstock

Минэкономразвития предлагает распространить оборотные штрафы за утечки персональных данных на поставщиков решений в области информбезопасности. Об этом в понедельник, 25 ноября заявил директор департамента цифрового развития и экономики данных Минэка Владимир Волошин на круглом столе в Госдуме, передает корреспондент РБК.

Как пояснил Волошин, проведенный Минэком анализ показал, что, если бы рассматриваемый сейчас Госдумой законопроект об оборотных штрафах за утечки данных был принят год назад, его реализация могла бы привести к тому, что четыре из пяти компаний малого и среднего бизнеса, попавших под подобные штрафы, оказались бы на грани банкротства. «Судя по комментариям представителей разработчиков продуктов информационной безопасности, они уверены в наличии всех необходимых решений для защиты данных. В связи с этим предлагается рассмотреть возможность распространения оборотных штрафов на самих разработчиков в случае, если утечка произошла, и специализированное программное обеспечение не смогло обеспечить должный уровень защиты», — отметил Владимир Волошин.

Глава «Ростелекома» заявил об утечке данных всех россиян
Общество
Фото:Михаил Гребенщиков / РБК

С предложением согласился замдиректора Федеральной службы по техническому и экспортному контролю (ФСТЭК) Виталий Лютиков. По его словам, ответственность за утечки должны нести не только операторы персональных данных. Если причиной утечки стала уязвимость в программном обеспечении, то ответственность за это нужно разделять с разработчиком этого софта, а если интегратор или центр мониторинга информационной безопасности (Security Operations Center, SOC) не отреагировали на события в части безопасности должным образом, то отвечать должны и они.

В конце 2023 года ФСТЭК получила полномочия оценивать состояние защиты информации. В 2024-м служба проверила более 100 организаций и выяснила, что базовый уровень безопасности обеспечивают лишь 10% из них, в 39% уровень защиты информации был низким, в 51% — катастрофическим.

Как планируют наказывать за утечки

Законопроект о введении оборотных штрафов и усилении уголовной ответственности за утечки персональных данных обсуждается с 2022 года. Соответствующие поправки в Административный и Уголовный кодексы в Госдуму внесли группа сенаторов и депутатов в середине прошлого года. В первой версии предлагалось увеличить штрафы для юрлиц до 3-5 млн руб., если утечка затрагивает от 1 до 10 тыс. субъектов персональных данных (граждан); до 5-10 млн руб., если затрагивает от 10 до 100 тыс. субъектов и до 10-15 млн руб., если более 100 тыс. субъектов. За повторное нарушение, независимо от объема утекших данных, предлагалось ввести штраф в размере от 0,1 до 3% годовой выручки за предшествующий календарный год или за часть текущего года. При этом минимальный штраф должен составить 15 млн руб., а максимальный — 500 млн руб.

Forbes узнал об идее увеличить в 10 раз штрафы за повторные утечки данных
Бизнес
Фото:Григорий Сысоев / РИА Новости

В январе 2024 года законопроект был принят в первом чтении, второе и третье чтение ожидаются во вторник, 26 ноября. В середине ноября Forbes писал со ссылкой на версию проекта ко второму чтению, что минимальный штраф для юрлиц за повторные утечки данных вырастет до 1–3% от годовой выручки, для должностных лиц они снизятся с 3–5 млн руб. до 1,1–1,2 млн руб. При этом документ вводит смягчающие обстоятельства для компаний, инвестирующих не менее 0,1% годовой выручки в информационную безопасность. Также компании должны будут иметь лицензию ФСБ на разработку криптографических систем или сотрудничать с лицензированным подрядчиком. Банкам разрешат рассчитывать штрафы на основе объема капитала. В то же время собеседник Forbes оговаривался, что эта версия законопроекта еще не согласована с правительством.

Зачем разделять ответственность

Как пояснил Волошин РБК, законодательство в отношении утечек данных нужно менять, но важно учитывать все возможные социально-экономические последствия, поскольку практически все компании используют персональные данные. Введение новых штрафов в рамках предлагаемой конструкции, по его мнению, может создать серьезные риски для ряда отраслей, таких как туризм, транспорт, строительство, энергетика, банковская сфера, маркетплейсы, медицина, видеоигры, образование и связь. Особенно это касается сектора малых и средних предприятий.

По его словам, представители компаний из перечисленных отраслей уже выражают обеспокоенность возможными последствиями. Волошин подчеркнул, что изменить процессы работы с данными до вступления новых норм в силу будет невозможно из-за нехватки финансовых ресурсов, кадров и соответствующих программных продуктов на рынке. По его мнению, это может привести к тому, что часть проектов, связанных с развитием рынка данных, включая заявленные в нацпроекте «Экономика данных», могут урезать. В ряде отраслей может произойти «цифровая деградация», часть используемых сервисов могут отключить.

РКН заявил об утечке в Сеть 600 млн записей о россиянах с начала года
Политика

Руководитель группы по сопровождению GR-проектов ГК «Солар» Андрей Медунов отметил, что любая ответственность должна распространяться на лиц, которые повлияли на появление негативных последствий, но он не уверен, что этот вопрос необходимо вписывать в законодательство, поскольку его можно урегулировать в договорах. «Будь это центр мониторинга или поставщик решений информационной безопасности, он должен нести ответственность за утечку, но важно учитывать степень влияния и доказательства его виновности (неэффективность продукта, несвоевременное реагирование). Операторов персональных данных с поставщиками решений информационной безопасности и центрами мониторинга связывают коммерческие отношения, в рамках которых возможно предусмотреть формы финансовой ответственности в случае утечки», — рассуждает Медунов.

РБК направил запрос в Positive Technologies, Softline, Bi.Zone и «Лабораторию Касперского».

Авторы
Теги
Видео недоступно при нулевом балансе


 

Лента новостей
Курс евро на 26 ноября
EUR ЦБ: 108,87 (+1,45)
Инвестиции, 25 ноя, 17:44
Курс доллара на 26 ноября
USD ЦБ: 103,79 (+1,21)
Инвестиции, 25 ноя, 17:44
Байден в последний раз в качестве президента США помиловал индеек. ВидеоОбщество, 01:30
В Киеве и Харькове прогремели взрывыПолитика, 01:27
В Пентагоне заявили, что еще не отправляли подрядчиков на УкраинуПолитика, 00:53
Politico узнало планы Харрис на выборы 2028 годаПолитика, 00:51
Сербские депутаты устроили потасовку в парламенте. ВидеоПолитика, 00:47
Китайский аналитик заявил о снижении порога для начала ядерного конфликтаПолитика, 00:33
«Может получить «Золотой мяч». Как Сафонов потеснил лучшего вратаря мираСпорт, 00:11
Скидки на подписку до 60%
Максимальная выгода до 2 декабря
Купить со скидкой
США заявили об участии в расследовании крушения самолета в ЛитвеПолитика, 00:11
Санитарная авиация объяснила остановку парка вертолетов после аварииОбщество, 00:00
Претендент на Nord Stream 2 назвал его «рычагом в переговорах» с РоссиейБизнес, 00:00
Команда Трампа назвала решение прекратить дело против него победой законаПолитика, 25 ноя, 23:54
С россиян запланировали взыскать без суда более ₽22 млрд налоговых долговЭкономика, 25 ноя, 23:39
Сбербанк приостановил выдачу семейной ипотеки из-за исчерпания лимитаЭкономика, 25 ноя, 23:31
Зеленская призвала Запад «не расслабляться» из-за РоссииПолитика, 25 ноя, 23:30