С 1 марта закон 266-ФЗ, который вносит целый ряд изменений в законодательство по защите персональных данных жителей России, вступает в силу в полном объеме. Всего в 266-ФЗ содержится около двух десятков нововведений, из которых два - уведомление регуляторов о трансграничной передаче персональных данных и запрет на передачу данных о недвижимости из госреестра третьим лицам - вступают в силу с 1 марта 2023 г.
"1 марта 2023 г. вступает в силу приказ РКН №178, в котором есть конкретная методика оценки вреда субъекту при утечке ПДн, их разглашении и иных нарушениях в этой сфере. Раньше такого в законодательстве не было. Кроме того, еще одним важным нововведением стало требование о контроле уничтожения персданных через уведомление Роскомнадзора с приложением выгрузки из журнала событий информационной системы. Еще часть ограничений коснется компаний, работающих с трансграничной передачей данных. Требований стало больше, но само взаимодействие оператора персданных с регуляторами сделалось прозрачным и понятным. Оцениваем, что законодательные меры по части защиты ПДн в ближайшие год-два сформируют четкую практику применения. Это позволит оценить, насколько сбалансированы принятые меры и нужны ли дополнительные изменения в законах. Тем более это важно в свете анонсированных ранее оборотных штрафов за утечки персданных", - так комментирует новшества, вступающие в силу сегодня, GR-директор "СерчИнформ" Ольга Минаева.
Триггером к изменениям стала волна инцидентов, связанных с громкими и масштабными утечками данных. По данным отчета "Лаборатории Касперского" "О значимых утечках данных в России", в 2022 г. зафиксировано 168 случаев публикаций значимых баз данных российских компаний. Всего опубликовано более 2 млрд записей. "Если распределить утечки равномерно в течение года, получится, что злоумышленники почти каждый второй день публиковали объявления о выложенной в свободный доступ конфиденциальной информации пользователей", - говорится в отчете.
При этом бизнес не готов в полном объеме соблюдать требования обновленного законодательства. Как показало исследование, проведенное интегратором "Крок", более 20% компаний в конце августа 2022 г., накануне вступления в силу основной массы требований, предусматриваемых 266-ФЗ, не планировали в ближайшей перспективе приводить свои системы в соответствие с нововведениями. Полностью адаптировали системы к изменениям в законодательстве лишь 4% участников опроса и 28% сделали это частично.
Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев связывает это с тем, что, как это часто бывает, на адаптацию к большому пакету законодательных изменений организациям в основном требуется больше времени, чем предусматривает регулятор: "Если в федеральных органах исполнительной власти и крупных предприятиях есть все возможности для того, чтобы как можно скорее встать на обновленные законодательные рельсы, то среднему и малому бизнесу приходится намного сложнее. Особенно много вопросов у компаний разного уровня вызывает построение матрицы рисков в случае утечки персональных данных. Зачастую здесь не обойтись без опытных консультантов. К тому же новые требования ведут к существенному увеличению нагрузки на сотрудников, которые отвечают за работу с персданными, или к необходимости вводить дополнительные единицы в штатное расписание, а к этому далеко не все готовы".
Положение усугубляется тем, что целый ряд ведомств до сих пор не привели нормативную базу в соответствие с новыми требованиями. Так, начальник отдела научно-медицинских цифровых решений НИИ неотложной детской хирургии и травматологии Алексей Жуков обратил внимание, что, например, нормативная база Минздрава до сих пор не предусматривает создание ИБ-подразделений в подведомственных учреждениях, несмотря на то что отрасль прямо подпадает под требования указа №250 президента России. И по его оценке, точно такая же ситуация имеет место везде, где функционирование основного бизнеса мало зависит от работы информационных систем. Однако, как напомнил Алексей Жуков, регламенты того же Минздрава прямо запрещают хранение персональных данных за пределами страны.
Руководитель направления безопасности промышленных предприятий Infosecurity a Softline Company Анатолий Сазонов предупреждает, что в целом вопросы трансграничной передачи до сих пор не проработаны, что может вызвать серьезные проблемы для многих компаний: "Много вопросов возникает по трансграничной передаче персональных данных - передаче ПДн через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. Какие-то компании уже направили уведомление о трансграничной передаче, какие-то компании ожидают вступления в силу изменений 1 марта и последующей за этим правоприменительной практики, поскольку вопрос трансграничной передачи в рамках бизнес-процессов достаточно четко не определен и компании не хотят останавливать свои бизнес-процессы из-за возможного запрета на передачу ПДн за рубеж. Зависимости от отрасли здесь не прослеживается, все операторы находятся в примерно одинаковой ситуации".
Также Алексей Жуков назвал серьезной проблемой дефицит и низкое качество подготовки ИБ-кадров. Из 10 выпускников учебных заведений могут реально приступать к работе лишь двое. Также, как подчеркнул Алексей Жуков, при подготовке специалистов основное внимание уделяется работе с техническими средствами в ущерб ознакомлению с нормативной базой и использованию организационных методов. И этот специалист далеко не одинок в претензиях к сфере образования. Их высказывали на различных форумах представители и бизнеса, и регуляторов.
Ольга Минаева считает здравоохранение одной из наиболее проблемных отраслей в плане рисков ИБ: "Мы видим, что сфера здравоохранения особенно страдает от нехватки технических средств защиты, квалицированных ИБ-кадров, низкого уровня ИБ-подготовки персонала. Концепция информационной безопасности в сфере здравоохранения, появившаяся в прошлом году, надеюсь, "сработает" на усиление информационной безопасности в медорганизациях, как и законы, принятые для всех операторов персданных". Хотя в целом, как показало исследование "СерчИнформ", треть российских компаний увеличили бюджет на информационную безопасность. В лидерах субъекты критической информационной инфраструктуры (39%) и системообразующие компании (36%) - респонденты этих организаций чаще других заявляли, что заложили больше средств на ИБ. Дополнительный бюджет на ИБ тратится по большей части на закупки оборудования и ПО.
Согласно данным отчета "Лаборатории Касперского", бизнес также не слишком хорошо защищает персональные данные, и результат закономерен: 64% данных скомпрометированы в результате атак на крупный бизнес. Абсолютными лидерами стали такие отрасли, как доставка товаров (34% от общего объема данных, выставленных на профильных форумах в даркнете) и розничная торговля (14%). "Утечка данных может затронуть любую компанию. Мы ожидаем, что в 2023 г. их количество может вырасти на 20%. При этом велика вероятность, что злоумышленники продолжат обращать внимание на сферу ретейла, которая исторически хранит колоссальные объемы информации", - такой прогноз сделал аналитик Kaspersky Digital Footprint Intelligence Игорь Фиц.
По мнению заместителя директора департамента консалтинга Innostage Данияра Исхакова, главной причиной неготовности бизнеса является отсутствие выстроенных процессов выявления и регистрации любых инцидентов ИБ, не только связанных с оборотом персональных данных: "Если не брать в расчет компании и предприятия, которые в соответствии с законодательством уже взаимодействуют с НКЦКИ по всем выявленным компьютерным атакам, то подавляющее большинство операторов ПДн не готовы оперативно уведомлять регулятора о произошедших атаках/утечках. В первую очередь в связи с отсутствием выстроенных процессов выявления и регистрации кибератак. Во-вторых, у них нет обученных кадров, способных провести внутреннее расследование и собрать информацию для расследования инцидента. Кроме того, весомое значение имеет наличие соответствующих средств защиты - для выявления атак и сбора необходимых свидетельств".
Руководитель аналитического центра компании Zecurion Владимир Ульянов считает, что бизнес был больше сконцентрирован на решении других задач, и изменений в практике обработки персональных данных за последние 17 лет, когда появился закон о защите персональных данных, произошло очень мало: "В целом, что касается вопросов ответственной обработки со стороны операторов и озабоченности в самом обществе в отношении своих данных, уровень растет, но очень медленными темпами. Если говорить о практике защиты персональных данных, не так много изменений произошло за последние 15 лет. В то же время ценность и доступность данных благодаря повсеместному внедрению автоматизированных средств обработки, наоборот, возросла. В результате громкие и масштабные утечки из организаций разных отраслей происходят с завидной регулярностью".
Директор по маркетингу и коммуникациям ООО "Ракета" Дарья Зубрицкая видит и положительную тенденцию, особенно в финансовом секторе: "С одной стороны, ситуация не слишком изменилась - мы продолжаем видеть у разных компаний новые кейсы с утечками данных. Но по факту также есть и смещение в лучшую сторону. Многие компании начали реально задумываться об усилении мер защиты данных. К этому привело и ужесточение законодательства, и большое внимание со стороны СМИ к утечкам. Наиболее проработанная и сбалансированная ситуация в финансовом секторе, за последнее время не было каких-то утечек из таких компаний. Это можно связать с тем, что регулятор в этой сфере очень жестко контролирует обеспечение информационной безопасности. Также неплохо обстоят дела в крупных компаниях: они следят, как защищаются данные их клиентов. А в небольших организациях ситуация, к сожалению, чаще всего не слишком благополучная. Мелкие предприятия зачастую не уделяют большого внимания защите данных и просто не задумываются, какой репутационный ущерб могут понести".
Ольга Минаева видит и ощутимые результаты уже действующих мер, принятых в ходе реализации 266-ФЗ и подзаконных актов к нему: "Расширились обязанности операторов персональных данных, закреплены порядок, формат, сроки уведомления НКЦКИ об утечках и требования к расследованию инцидентов. Значимым стал приказ №187 от 14 ноября 2022 г. Теперь операторы ПДн четко знают, что собой представляет и как работает реестр учета инцидентов РКН, вводимый частью 10 статьи 23 ФЗ-152. Часть 11 той же статьи определяет, в каком случае инцидент относится к зоне компетенций ФСБ - ранее по этому поводу было много споров".
Законодатели и регуляторы будут продолжать совершенствовать нормативную базу. Руководитель профильного комитета Госдумы Александр Хинштейн назвал борьбу с утечками данных одним из приоритетов на весеннюю сессию. Прежде всего он обещал максимально быстро принять поправки в Уголовный кодекс и Кодекс об административных правонарушениях, которые существенно усиливают ответственность для виновников инцидентов.
Генеральный директор ООО "Диджитал Маркетс" Илья Назаров видит некоторые тенденции к изменению ситуации в лучшую сторону, но, по его оценке, для радикального изменения необходимо усиливать ответственность виновников: "На наш взгляд, безусловно, ситуация меняется к лучшему. К сожалению, число инцидентов с персональными данными пользователей - граждан РФ к сегодняшнему дню уже настолько значительно, что переломить ситуацию может только серьезное ужесточение законодательства. Как мы помним, президент РФ поручил в короткие сроки изменить сложившуюся ситуацию. Среди конкретных изменений видится особенно важной поправка об утечках персональных данных в части ведения реестра учета инцидентов, а также необходимость передачи информации о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, в ФСБ России. Многие дополнительные функции накладываются на Роскомнадзор, что должно подразумевать и увеличение в штате соответствующих экспертов".
Яков Шпунт