Законопроекты об оборотных штрафах за утечки персональных данных (ПДн) граждан, а также об уголовной ответственности за их кражу и создание сайтов и других каналов их распространения официально внесены в Госдуму. Бизнес по-прежнему не хочет публично высказывать свою позицию относительно документа.
Вторая и третья части статьи находятся по ссылкам — «Законопроект об оборотных штрафах и непоправимый удар по компаниям. Часть 2» и «Законопроект об оборотных штрафах и непоправимый удар по компаниям. Часть 3».
В последние годы количество атак на компании в России стремительно увеличивается. По данным F.A.C.C.T., общее число баз данных российских организаций, впервые выложенных в публичный доступ в 2022 году, составило 311. В 2021 году их было всего 61. Общее количество строк данных пользователей, содержащихся во всех опубликованных в 2022 году сливах, превысило 1,4 млрд.
За первую половину 2023 года команда F.A.C.C.T. зафиксировала более ста утечек из российских коммерческих компаний и госорганизаций. Число утекших строк пользовательских данных только за один из летних месяцев, по сравнению с предыдущим периодом 2022 года, увеличилось более чем в 11 раз – до 62,1 млн.
Векторы атак остаются неизменными: это электронная почта, открытые доступы в сеть: RDP, VPN. Риски усиливаются с учетом распространенности дистанционных подключений работников к корпоративной инфраструктуре. Есть возможности для инсайда: недобросовестные сотрудники с доступом к данным могут передать их злоумышленникам.
Одной из причин роста числа утечек стала недостаточная защищенность цифровых активов бизнеса, а также увеличение количества атак с весны 2022 года. Более половины инцидентов происходит в результате уязвимостей периметра сетей компании и могут быть предотвращены. К утечке могут привести, к примеру, неправильная настройка серверов компании или уязвимость в коде.
В связи с молниеносным ростом количества утечек детальное обсуждение законопроектов, ужесточающих ответственность бизнеса за утечки персональных данных граждан и вводящих уголовную ответственность для хакеров, операторами персональных данных и компаниями из сферы информационной безопасности представляется крайне важным.
Нововведения
Один из законопроектов увеличивает штрафы за невыполнение требований по защите информационной системы персональных данных граждан (ИСПДн) от 2 до 6 раз. В состав этой системы входит не только их личная информация, но и инструменты, которые используются для обеспечения безопасности этих данных, а также средства их обработки.
Также законопроект предполагает введение для бизнеса штрафа за отсутствие уведомлений Роскомнадзора в размере до 300 тыс. руб., за нерасследованные инциденты с ИСПДн - до 3 млн, за преступную халатность с признаками уголовного деяния – до 5 млн.
Кроме того, инициатива предусматривает введение для бизнеса штрафа за среднего размера утечку в пределах 10 млн рублей, за крупные утечки - до 15 млн, повторные нарушения - до 3% годовой выручки для юрлиц и до 4 млн для должностных. За утечку специальных ПДн любого объема законопроект вводит штраф до 15 млн руб., за ее повторение - до 3% годовой выручки для юрлиц и 5 млн для должностных.
Другой законопроект предусматривает привлечение к уголовной ответственности хакеров не только за доступ, но также за передачу, сбор, хранение, создание сайтов и других каналов распространения украденных персональных данных.
Инициатива устанавливает штраф для хакеров в размере до 300 тыс. руб. или ограничение свободы сроком до 4 лет при действиях с обычными ПДн, при операциях со специальными ПДн - штраф до 700 тыс. руб. или ограничение свободы сроком до 5 лет. Кроме того, инициатива указывает ряд нюансов, из-за которых эти нарушители могут понести более сильное наказание.
Отягчающими обстоятельствами признаются корыстная заинтересованность, крупный ущерб, объединение в группу и служебное положение. В этом случае нарушителя могут обязать к штрафу размером до 1 млн руб. или ограничению свободы сроком до 6 лет. Тяжкими последствиями считаются приостановка или нарушение деятельности оператора персональных данных в ходе их кражи.
Отдельное наказание законопроект предполагает за трансграничную передачу ПДн. Под этим подразумевается физический перенос личной информации граждан через границу на каком-либо носителе. Наказанием в данном случае будет штраф до 3 млн руб. или ограничение свободы на срок до 10 лет.
Законопроект также вводит наказание за создание сайта или страницы в интернете, которые специально предназначены для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей ПДн. За это нарушителю будет грозить штраф размером до 700 тыс. руб. или наказание сроком до 5 лет.
Предыстория
К разработке законопроектов Минцифры и Роскомнадзор приступили в начале 2022 года. В начале апреля того года глава Минцифры Максут Шадаев предложил ввести «большие оборотные штрафы для бизнеса, который допустил утечку персональных данных». В конце мая 2022 года ведомство сообщило, что законопроект находится на завершающем этапе создания и в начале июня он должен быть внесен в Госдуму.
Разработка законопроекта ускорилась на фоне крупнейших утечек информации в российских компаниях, которые следовали в то время одна за другой. В открытый доступ тогда, в частности, попали данные СДЭК, «Яндекс.Еды», Delivery Club и «Гемотеста».
Несмотря на масштабы происшествий, эти компании были не сильно наказаны, так как пока за утечки ПДн бизнесу полагаются совсем незначительные штрафы. Кодекс об административных нарушениях предполагает штрафы для юрлиц в размере от 60 тыс. до 100 тыс. руб., при повторном правонарушении - до 300 тыс.
В конце августа 2022 года Минцифры заявило, что законопроект будет представлен в середине сентября того года. В ведомстве тогда сообщили, что его представители ищут компромисс с бизнесом и отраслью. В январе 2023 года Президент России Владимир Путин поручил правительству до июля этого года рассмотреть вопрос о введении оборотных штрафов для компаний, допустивших утечку ПДн россиян и дать предложения по внесению соответствующих изменений в законодательство. Тогда же генеральный директор Smart Engines Владимир Арлазаров заявлял о том, что существует серьезное сопротивление законопроекту.
В марте 2023 года Минцифры передало оба законопроекта на рассмотрение в профильный комитет Госдумы. В июле законопроект об оборотных штрафах был направлен на рассмотрение в Правительство, в конце сентября кабмин его одобрил. Одновременно Минцифры предложило дополнить законопроект положениями, которые предусматривали финансовую компенсацию пострадавшим, признаваемую смягчающим обстоятельством при определении штрафа. Данная инициатива также была поддержана Правительством, механизм финансовой компенсации министерство разъяснило на своем сайте. Также летом законопроект об оборотных штрафах был направлен в заинтересованные ведомства.
В сентябре Сбер обратился в правительство с предложением изменить подход к наказанию за утечки ПДн. В октябре крупнейшие деловые объединение России - Российский Союз Промышленников и Предпринимателей (РСПП), «Деловая Россия», «Опора России» и Торгово-промышленная палата (ТПП) - направили письмо по поводу законопроекта председателю Госдумы Вячеславу Володину. В нем они указали свои предложения по его доработке, отсрочке его вступления в силу до 2026 года и создании мер поддержки, которые стимулировали бы бизнес инвестировать в средства защиты. В ответ глава Госдумы запустил в Телеграмме-канале опрос об увеличении штрафов для компаний за повторную утечку ПДн граждан.
В начале декабря оба законопроекта были официально внесены в Госдуму.
Конфликт
Журналист Anti-Malware.ru обратился к бизнесу и компаниям из сферы информационной безопасности с целью узнать, разделяют ли они предложения деловых объединений и считают ли оптимальным механизм финансовой компенсации за утечки, созданный Минцифры.
Кроме Ozon, никто из организаций, являющихся операторами персональных данных граждан, не ответил на запрос журналиста Anti-Malware.ru. В их число вошли: Сбер, ВТБ, Альфа-Банк, Тинькофф, Газпромбанк, Райффайзенбанк, X5 Group, Wildberries, МТС, Мегафон, Tele2, Билайн, VK, Яндекс и Рамблер. В Ozon ограничились общим комментарием. В пресс-службе компании отметили, что «законопроект является важной мерой, стимулирующей бизнес к укреплению кибербезопасности».
«В то же время, предложенные в новой версии формулировки состава правонарушения создают критические риски для ИТ-отрасли, а потенциальная нагрузка на бизнес от оборотных штрафов нуждается в корректировке с учетом текущей экономической обстановки. Принятие законопроекта в текущей версии может иметь негативные последствия для российского ИТ-рынка и нивелировать позитивный эффект от уже реализованных мер его поддержки. Надеемся, что документ будет скорректирован в диалоге с бизнесом и не будет нести дополнительных рисков для отрасли», - заявили в пресс-службе Ozon.
Напомним, что, говоря о законопроекте, глава комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн отмечал необходимость установления «серьезной ответственности».
«Без ее введения мы порядка не наведем. А вот компании, которые не обеспокоены усилением информационной безопасности, сейчас целенаправленно пытаются снизить накал страстей, стараются показать, что утечки не являются серьезной проблемой», - заявлял Александр Хинштейн.
Он также обращал внимание, что сегодняшние санкции в отношении бизнеса крайне лояльны к нему и заверял, что с ними компании и «дальше будут равнодушно смотреть на дыры в своих системах инфобеза».