В прошлом году, на фоне длительных дискуссий об утечках персональных данных и штрафах за них было внесено сразу два законопроекта по административным, в том числе, оборотным, штрафам, уголовным наказаниям и т. п., причём один из них был стремительно принят сразу в трех чтениях перед Новым годом (Федеральный закон от 12.12.2023 №589), а другой — в первом чтении в январе (Поправки в КоАП и уголовный кодекс). Надо или нет вводить огромные штрафы с организаций за утечки персональных данных? Свидетельствуют ли штрафы в 60-100 000 тысяч рублей о слабости наказания и невозможности пресечь утечки? И не забываем о приговорах по уголовным делам за «пробив» данных абонентов, которые регулярно получают работники салонов сотовой связи по 272 или 274.1. Маленькие сроки и штрафы? Или нет охвата и неотвратимости наказания, чтобы одним стало не выгодно воровать (да, умышленная утечка данных — это воровство), а другим — выгодно не допускать умышленные и неумышленные утечки из своих организаций.
Штрафы на вендоров?
Среди предложений звучит разное. Кто-то говорит о смягчении ответственности при определенных обстоятельствах, кто-то — о разделении, например, возлагать часть штрафа на производителей СЗИ. Но здесь вообще крайность — факт покупки и даже внедрения средств защиты не означает соответствующей эксплуатации и эффективности. К тому же, при таком подходе возможны ситуации, когда после мощной кибератаки и огромной утечки ПДн потребуют, например, штрафовать производителя МЭ/СОВ, хотя, на самом деле данные мог вынести скромный работник организации, сама атака была операцией прикрытия. Или наоборот, кибератаки не было зафиксировано, данные вынес сотрудник, которого «приняли» правоохранители, причём в организации DLP зафиксировало его манипуляции, но тревоги не прозвучало (может, правомерными эти действия были). Кто виноват? ИБ за настройку системы или обучение ИИ? СБ за нереагирование на все подряд события? Разработчик DLP? Интегратор, продавший и настроивший? Кстати, комплексная подсистема защиты информации в АС может состоять из десятка и более различных типов СЗИ. Как разделять ответственность между производителями? По количеству лицензий? (шутка)
И не следует забывать о важнейшей проблеме — это идентификация утечки. Откуда она была? Точно ли из той организации, о которой объявлено и где есть такие данные? Из аналогичных? От партнеров? Объединена из других утечек и дополнена парсингом соцсетей? И сколько шантажистов после этого появится?
О факторах, смягчающих ответственность при оборотных штрафах за утечки ПДн
Об этом говорили и на нашем BIS Summit-2023, в том числе напрямую с автором законопроекта Александром Хинштейном на других площадках, и в прессе…
И предложения звучат самые разные и в самых разных формулировках. Даже встретилось, что штраф снижается или отменяется, если владелец системы «купил аккредитованное средство». Кем и где? По каким параметрам? Почему не сертифицированное? Да, вот так напрямую. Но сама по себе покупка и даже внедрение самого-самого замечательного СЗИ или ППО в защищенном исполнении — только часть будущей системы безопасности (подсистемы защиты информации).
Предлагаю вспомнить о причине появления наказаний за утечки данных, в первую очередь — персональных, о причинах усиления этих наказаний:
- Значительный рост количества и объемов утечек, необходимость снизить.
- Сделать невозможным или проблематичным применение данных в криминальных целях.
А что может повлиять на это?
Страх перед наказанием. Для человека, срок по уголовному делу, даже если он условный — веская причина, хотя поток сообщений о таких приговорах не прерывается.
А для организации? Штраф в 60-100 тысяч рублей, пусть даже с предписанием об устранении недостатков? Ситуацию мы видим. Допустим, штрафы значительно увеличат, и руководители потребуют… Потребуют сделать что? И у кого? Вызовут ИБшников и СБшников и потребуют пресечь имеющимися силами и средствами, а не то?..
Но что всё-таки может действительно снизить вал утечек?
Отвечу: создание системы безопасности информации, соответствующей всем требованиям применительно к конкретным типам данных, условиям и способам их обработки, а также, обязательно (!), её постоянная и квалифицированная эксплуатация, периодическая проверка и модернизация.
Причём я говорю о двух уровнях системы безопасности в организации.
- Первый, это система управления ИБ (например, СМИБ по стандартам серии ISO 27000).
- Второй, это системы защиты конкретных автоматизированных систем, помещений для переговоров, бумажных хранилищ и т. п.
Она может быть в разных формах и разной глубины. Например.
- Если в отношении системы управления ИБ, то это может быть сертификация СМИБ (ГОСТ Р /ISO 27001).
- Если про ИСПДн, то в 21-м приказе ФСТЭК России говорится про оценку «эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных».
- Государственные информационные системы должны быть аттестованы.
- В банковской отрасли существуют свои требования и подходы.
И именно наличие такой системы безопасности, документов, подтверждающих её соответствие требованиям, обучения сотрудников (от безопасников до пользователей, от инструктажей до киберучений) и должно быть тем фактором, который может быть рассмотрен как влияющий на снижение наказания за утечку. Увы, но от «пеньковских» и «новых снарядов» никто не застрахован, но снижение - это именно для тех, кто работает всерьез, а не тех, кто штампует отписки или нагромоздил всего подряд, не продумав и спроектировав систему безопасности.