Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

Компании по кибербезопасности увидели риски в новых положениях УК

Насколько оправданны их опасения
Компании по кибербезопасности увидели риски для работников в новых положениях УК
Работающие в сфере кибербезопасности компании опасаются, что их сотрудники могут подпасть под введенную недавно уголовную ответственность за незаконный оборот персональных данных. Положения УК стоит уточнить, считают в отрасли
Фото: Михаил Гребенщиков / РБК
Фото: Михаил Гребенщиков / РБК

Принятые в конце ноября поправки в Уголовный кодекс (УК), направленные на борьбу с утечками персональных данных, могут негативно отразиться на рынке кибербезопасности. Такие опасения высказали опрошенные РБК представители нескольких компаний, занимающихся информационной безопасностью.

Как пояснил заместитель гендиректора ГК «Гарда» Рустэм Хайретдинов, новые положения УК предусматривают наказание для тех, кто получает доступ к похищенным данным в интернете, но такие действия ежедневно выполняют специалисты по расследованию инцидентов в сфере кибербезопасности. Они анализируют утечки, исследуют метаданные и образцы данных, чтобы определить характер и объем утечек. «Сейчас экспертное сообщество активно работает с законодателями, чтобы разрешить эту правовую коллизию. Вариантов решения несколько: возможно, это будут определенного вида лицензии на право заниматься киберрасследованиями, по аналогии с «белыми хакерами», — рассказал Хайретдинов.

Эксперты объяснили новый указ Путина о кибербезопасности
Политика
Фото:Patrick Lux / Getty Images

Такие обсуждения действительно ведутся в профессиональной среде, подтвердил РБК Александр Метальников, эксперт направления безопасности промышленных предприятий компании Infosecurity (ГК Softline). Законодатели, по его данным, в дискуссии пока не участвуют. Эксперт напомнил, что еще во время второго чтения законопроекта с поправками предлагалось сделать исключения для компаний, занимающихся легитимным анализом похищенных данных, но в окончательную версию закона такие оговорки не попали. «В результате ряд компаний, осуществлявших анализ утечек в даркнете, приостановили свою деятельность в этой области, — сказал Метальников. — Одним из решений проблемы могло бы стать введение исключений для организаций с лицензиями Федеральной службы по техническому и экспортному контролю (ФСТЭК), которые занимаются мониторингом информационной безопасности».

По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, не только злоумышленники могут исследовать информацию в даркнете или теневых телеграм-каналах, где часто публикуются украденные базы данных, — эксперты по информационной безопасности также анализируют подобные объявления с утечками данных и уведомляют о них пострадавших клиентов. «Сейчас отрасль опасается, что такие действия могут попасть под действие УК. Важно, чтобы была предусмотрена возможность продолжить официально оказывать такие услуги. Например, чтобы регулятор выдавал разрешение на подобную работу», — продолжает Голованов. Он напомнил, что аналогичный подход уже показал свою эффективность в вопросе защиты от вредоносного кода — компании по кибербезопасности ежедневно работают с ним, но эта деятельность не классифицируется как незаконное создание, распространение или использование вредоносных программ.

Госдума ужесточила наказание за утечку персональных данных
Общество
Фото:Михаил Гребенщиков / РБК

Наличие опасений в связи с возможным привлечением к уголовной ответственности работников, занимающихся информбезопасностью компаний, подтверждает руководитель направления консалтинга в «К2 Кибербезопасность» Ольга Трофимова. По ее словам, это может произойти в случае, если при оказании услуг по защите информации их действия в отношении персональных данных будут квалифицированы как неправомерный доступ к ним. Кроме того, действия представителей компаний в области информационной безопасности могут быть признаны совершенными группой по предварительному сговору, что увеличит уровень уголовной ответственности. Такое возможно, если компании получат доступ к персональным данным клиентов, оказывая услуги без подписания договора, определяющего обязанности и полномочия контрагентов, в том числе в части обработки и защиты данных, пояснила эксперт.

На рынке есть мнение, что любая незаконная обработка персональных данных может попасть под действие новой статьи УК, говорит бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий. По его словам, под незаконной обработкой регулятор понимает не только обработку сведений об утечках персональных данных, к которым имеют доступ компании в области информационной безопасности, но и передачу персональных данных без согласия, например в рамках группы компаний, неверную форму согласия на обработку персональных данных, обработку cookies (небольшие фрагменты текста, передаваемые в браузер с сайта, который открывает пользователь; с их помощью сайт запоминает информацию о посещениях), а также другие нарушения, которые раньше рассматривались как некритичные либо попадали под административное наказание. Сейчас регулятор их всерьез рассматривает с точки зрения нового состава преступления, пояснил эксперт.

Что предусматривает новая статья УК

30 ноября президент России Владимир Путин подписал закон, вносящий поправки в Уголовный кодекс; они вводят наказания за незаконный сбор и передачу персональных данных россиян (за исключением случаев обработки данных для личных нужд), а также за создание сайтов для их незаконного оборота. В частности, новая ст. 272.1 предусматривает:

  • штраф до 300 тыс. руб. и до четырех лет лишения свободы за незаконное использование, передачу, сбор или хранение данных, полученных неправомерным путем;
  • до пяти лет лишения свободы или принудительные работы, если преступление касается данных несовершеннолетних, биометрических или специальных категорий; штраф до 700 тыс. руб.;
  • до шести лет лишения свободы и штраф до 1 млн руб. за указанные преступления с крупным ущербом или совершенные с корыстными мотивами;
  • до восьми лет лишения свободы и штраф до 2 млн руб. за трансграничную передачу данных;
  • до десяти лет лишения свободы и штраф до 3 млн руб. за преступления с тяжкими последствиями или совершенные организованной группой;
  • штраф до 700 тыс. руб. или до пяти лет лишения свободы за создание ресурсов для незаконного оборота данных.

Согласны ли власти с опасениями

Цель нового закона — не ограничить законную деятельность специалистов в области кибербезопасности, а пресечь злоумышленное использование данных, сказал РБК член Совета Федерации, заместитель председателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин. Преступлением, по его словам, будет считаться незаконный оборот компьютерной информации, которая получена незаконным путем и содержит персональные данные. Если специалисты по расследованию киберинцидентов действуют на основании договоров с заказчиками, соблюдают законы и не нарушают права третьих лиц, то их действия не подпадают под незаконный оборот, указал Шейкин. «Мы готовы рассматривать предложения отрасли, если практика применения закона потребует дополнительного обсуждения», — добавил сенатор.

Минэк предложил штрафовать разработчиков антивирусов за утечки данных
Технологии и медиа
Фото: ponsulak / Shutterstock

Глава комитета по информационной политике Госдумы Сергей Боярский передал через своего представителя, что к ним не поступали предложения от отрасли о внесении поправок в УК в части изменения нормы ответственности за нарушение законодательства о персональных данных. «Персональные данные, особенно биометрические персональные данные, — это очень чувствительная тема, и комитет последовательно выступает за то, чтобы закон максимально отвечал требованиям времени в части их защиты», — пояснил он.

Уголовная ответственность за незаконный сбор и передачу персональных данных россиян, а также за создание сайтов для их незаконного оборота предусматривается только для мошенников, осуществляющих доступ и распространяющих утекшие данные, сообщил РБК представитель Минцифры. По его словам, речи о добросовестных гражданах и специалистах в области информационной безопасности не идет — это одна из инициатив, входящих в комплекс мер по снижению и предупреждению случаев кибермошенничества. Сейчас Минцифры находится в диалоге с представителями индустрии и силовым блоком по этому вопросу, добавил собеседник РБК.

Читайте РБК в Telegram.

Авторы
Теги
Видео недоступно при нулевом балансе


 

Лента новостей
Курс евро на 26 декабря
EUR ЦБ: 103,94 (-0,29)
Инвестиции, 25 дек, 18:49
Курс доллара на 26 декабря
USD ЦБ: 99,61 (-0,26)
Инвестиции, 25 дек, 18:49
Национальная идентичность: как локальные бренды формируют имидж регионовТренды, 19:53
«Автомобилист» дважды забил «Трактору» за полминуты и вырвал победуСпорт, 19:53
Путин назвал рождаемость и многодетность приоритетными целями РоссииПолитика, 19:45
Путин раскрыл, что в 2021 году ему предлагал Байден по УкраинеПолитика, 19:44
Путин заявил о стремлении к завершению конфликта на УкраинеПолитика, 19:40
Эффект лизинга: сократить расходы, наладить процессы и получить рекламуРБК и Альфа-Лизинг, 19:37
Власти Ленобласти усилят меры безопасности в праздничные дниОбщество, 19:27
Как пить красиво и осознанно
Новый интенсив РБК Pro об алкоголе
Подробнее
Путин подписал указ о выплате детям попавших в плен и пропавших без вестиПолитика, 19:24
Искусство и бизнес: как современные компании поддерживают арт-индустриюСтиль, 19:21
В Финляндии задержали нефтяной танкер по подозрению в повреждении кабелейПолитика, 19:20
Бывшая первая ракетка мира снялась с Australian OpenСпорт, 19:16
Участники «Клуба Первых» встретились с Николаем Валуевым в НовосибирскеПресс-релиз, 19:11
Минтранс Казахстана сообщил о двух попытках посадки разбившегося EmbraerПолитика, 19:10
Большой гид по «Серии плюс»: чем интересны кварталы ПИК нового поколенияРБК и ПИК, 19:06