АБР поднимает вопрос о неоднородности применения таких штрафов, указывая на то, что государственные учреждения, не имеющие коммерческого оборота, остаются вне зоны риска таких санкций, в отличие от коммерческих организаций. Такое положение дел АБР считает несправедливым. Особую озабоченность вызывает потенциальное воздействие таких мер на сферу информационной безопасности и ИТ-индустрию в целом. Учитывая, что банки ежедневно взаимодействуют с множеством внешних сервисов, автоматизированный обмен данными увеличивает риски утечек, которые могут затрагивать и другие участвующие стороны.
Ахрамеева Ксения, ведущий инженер-аналитик компании «Газинформсервис»:
– В марте 2024 мы с коллегами в Аналитическом центре кибербезопасности «Газинформсервис» собрали и обобщили публикации с информацией об утечках за 2022, 2023 и часть 2024 года. Количество персональных данных, утекших от компаний в открытый доступ за 2022 по всем отраслям – более 450 млн, за 2023 – более 400 млн, а 2024 за первые 2 месяца – более 32 миллионов. Если бы с 2022 года уже были бы введены оборотные штрафы, то при самых минимальных штрафах (от 15 млн рублей) его бы заплатили 199 компаний в России, а сумма всех штрафов тогда составила бы почти 3 млр. рублей. Если считать по логике закона, прошедшего первое чтение, то часть компаний вынуждены были бы заплатить штраф 500 млн рублей. Ассоциация банков России (АБР), которая выступила с критикой предложения о введении штрафов, привязанных к обороту компаний, за утечку информации верно оценивает перспективы. Действительно, по закону получается, что государственные учреждения, не имеющие коммерческого оборота, остаются вне зоны риска таких санкций, а удар по коммерческим организациям в общем, и по IT-компаниям в частности был бы сокрушительным.