О разработке новой инициативы сообщают СМИ со ссылкой на заявление члена конституционного комитета Совфеда и зампреда совета по развитию цифровой экономики при палате Артема Шейкина. Предыдущая версия законопроекта предусматривала штрафы до 2 млн рублей и уголовную ответственность до 10 лет лишения свободы в особо тяжких случаях. Теперь же парламентарии предлагают ужесточить эти наказания.
«Считаю, что создатели таких платформ [которые распространяют персональные данные] должны отвечать по всей строгости закона, — сказал сенатор Шейкин. — В этой связи разрабатывается законопроект, предусматривающий штраф в размере до 700 тыс. рублей либо лишение свободы до пяти лет, либо принудительные работы на такой же срок».
Если же личная информация распространяется организованной группой лиц, виновным будут грозить штрафы до 3 млн рублей вместе с лишением свободы на срок до 10 лет. Артем Шейкин отметил, что особое внимание в законопроекте уделено передаче личной информации россиян за рубеж. В этом случае сроки лишения свободы будут достигать восьми лет со штрафами до 2 млн рублей. Сенатор также призвал бороться не только с самими сливами персональных данных, но и с отдельными ресурсами, на которых распространяется подобная информация.
Артем Шейкин отметил, что сегодня при вводе в поисковиках словосочетания «база слитых данных» легко можно найти огромное количество ресурсов. На них по номеру телефона, адресу e-mail и другим данным можно получить доступ к персональной информации десятков миллионов людей. «Такие базы открывают для бандитов и мошенников легкий путь для совершения преступлений, поскольку за считаные секунды они могут узнать всё о своих жертвах: адрес проживания, список родственников, финансовое положение семьи и многое другое», — подчеркнул Шейкин.
При этом ранее Минцифры РФ разработало законопроект, вводящий оборотные штрафы для компаний, допустивших утечки персональных данных граждан. На первый раз штраф составит 5–10 млн рублей, а при повторном нарушении — до 3% от оборота компаний.
Как говорит в беседе с «Известиями» исполнительный директор российской IT-компании HFLabs Константин Степанов, сегодня проблема сливов персональных данных становится всё актуальнее, поскольку самих данных становится всё больше — их собирают все, кому не лень. Если раньше персональные данные «поднимали» только по требованию регуляторов, то сегодня их аккумулирует каждая кофейня со своей программой лояльности, и это общемировой тренд.
Другую причину выделяет главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников. По словам эксперта, за время пандемии Covid-19 многие компании перенесли свою работу из офлайна в онлайн, а также перестроили бизнес-процессы, чтобы идти в ногу со временем и быть представленными в Сети. Немало компаний укрупнилось и за счет менее удачливых конкурентов, получив их инфраструктуру и базы в незащищенном виде.
— Нередко встречается мнение, что во время жесткой конкуренции за клиентов их можно потерять, если тратить деньги на безопасность, — объясняет Овчинников. — Из-за всех этих факторов и выросло число взломов корпоративных систем вкупе с утечками пользовательских данных.
По словам адвоката московской коллегии адвокатов «Бородин и партнеры» Владислава Шурховецкого, утечки персональных данных пользователей могут происходить по двум причинам — из-за неосторожности или умышленного раскрытия информации. В первом случае персональные данные могут оказаться в свободном доступе из-за некомпетентности сотрудников компаний, а также технических сбоев и недостаточной защищенности баз.
— Порой утечки случаются просто по недосмотру, когда слишком много людей внутри компании имеют доступ к данным или передают их в незашифрованном виде внутри организации, — объясняет в беседе с «Известиями» Константин Степанов.
Что касается умышленного раскрытия информации, то тут возможны разные сценарии. Порой обиженный сотрудник может выложить в открытый доступ базу данных или использовать доступ к ним как инструмент для подработки, предоставляя злоумышленникам данные определенных людей (так называемый пробив). Дмитрий Овчинников отмечает, что помимо действий сотрудников компаний — инсайдеров — иногда причиной сливов персональных данных может быть и внешний взлом.
— Порой оба этих фактора сочетаются вместе: кто-то внутри компании помогает внешнему злоумышленнику получить доступ к чувствительной информации, — поясняет специалист.
По словам Владислава Шурховецкого, жертвой утечки персональных данных может стать любое лицо, имеющее аккаунты в социальных сетях, различных сервисах, интернет-магазинах, а также пользующееся сервисами доставок и такси. Киберпреступники чаще всего «охотятся» на социально-экономически активное население, в основном из крупных городов, поскольку такие люди чаще оставляют свои данные в разных компаниях. При этом сам бизнес в результате сливов несет репутационные потери.
— Чем больше оборот компании и больше данных, тем более интересной целью становится организация, — поясняет Дмитрий Овчинников. — Лакомыми кусочками для злоумышленников являются банки, сотовые операторы и любые крупные компании, которые агрегируют у себя данные пользователей. Такого рода компании обычно уже имеют средства защиты в своем арсенале, однако это не гарантирует стопроцентной защиты от атак.
Сегодня в российском законодательстве уже существуют наказания за утечки персональных данных. Тем, кто занимается пробивом, грозит ответственность по ст. 137 («Нарушение неприкосновенности частной жизни») УК РФ, максимальное наказание по которой — пять лет лишения свободы. Что касается компаний, из которых утекли данные, то им грозят штрафы до 300 тыс. рублей в соответствии со ст. 13.11 КоАП РФ, рассказал Владислав Шурховецкий.
— Компании, откуда произошли утечки, зачастую получают символические штрафы в масштабах крупного бизнеса, — говорит Константин Степанов. — Что касается распространения персональных данных россиян, то оно зачастую происходит в даркнете, причем людьми, которые находятся за пределами России, а значит, наказать их вряд ли получится.
Владислав Шурховецкий считает, что меры, предложенные Совфедом, можно считать достаточно эффективными, поскольку в рамках законопроекта предлагается бороться не только с явлением сливов, но и с платформами, на которых эта информация размещается, в том числе за плату.
Однако, по мнению Дмитрия Овчинникова, ужесточение наказаний за слив персональных данных может привести не к усилению мер безопасности в компаниях, а к сокрытию информации об утечках. Не исключено, что некоторые компании откажутся от бонусных программ и персонализации своих пользователей.
— Увеличение уровня страха перед наказанием приведет лишь к усилению нежелания признаваться в своих ошибках на всех уровнях организации, — объясняет собеседник «Известий». — А не признав своей ошибки, нельзя ее устранить.
Дмитрий Овчинников утверждает: лучшими способами борьбы с утечками являются повышение общего уровня ответственности на моральном уровне за обрабатываемые данные, бережное отношение к репутации компании и повышение компетентности сотрудников в области информационной безопасности. Только такой комплексный подход, когда происходит синергия между техникой и людьми, может существенно уменьшить количество утечек и их опасность для пользователей.
Дмитрий Булгаков