Помогут ли дисквалификации топ-менеджмента в борьбе с утечками в банках

Юлия Петрова Редакция Forbes

Банк России готовит законопроект о квалификационных требованиях и деловой репутации руководителей финансовых организаций, отвечающих за информационную безопасность. Он введет персональную ответственность профильных заместителей руководителя за утечки личных данных клиентов, банковской тайны или иной защищаемой информации. В частности, тех, кто допустил неоднократные утечки, ЦБ предлагает дисквалифицировать на 10 лет с лишением права занимать аналогичный пост в другой финансовой организации в течение этого срока. Банкиров и компании, занимающиеся информационной безопасностью, беспокоят спорные моменты готовящегося законопроекта. Опрошенные Forbes юристы признают мягкость текущих наказаний за слитые базы и хакерские атаки

В 2023 году аналитики Threat Intelligence компании F.A.С.С.T. (разработчик технологий для борьбы с киберпреступлениями, бывшая Group-IB) зафиксировали на форумах в даркнете и в тематических Telegram-каналах появление 246 новых украденных баз данных российских организаций. Это чуть меньше, чем в 2022 году, когда число зафиксированных утечек достигло 311. В F.A.C.C.T. обращают внимание на смену объекта атак: если в 2022 году атаковали всех, даже маленькие компании, то в 2023 году удар на себя принимали в основном крупные организации, от которых киберпреступники могут получить какую-либо выгоду, используя украденные данные.

О таком же тренде пишет и ЦБ в февральском «Обзоре операций, совершенных без согласия клиентов финансовых организаций». Регулятор отмечает снижение общего числа атак на финансовые организации и сохранение давления на партнеров и сервисы, оказывающие IT-услуги банкам и другим финансовым организациям. «Основной целью злоумышленников являлось получение финансовой выгоды. Поэтому они пытались, как правило, зашифровать документы на серверах компаний, нарушить работоспособность информационных систем, а также получить доступ к чувствительным данным», — отметил Банк России. Получив доступ к внутренней инфраструктуре организаций, в половине случаев злоумышленники пытались выгрузить чувствительную информацию и продать ее на теневых ресурсах.

Telegram-канал Forbes.Russia

Канал о бизнесе, финансах, экономике и стиле жизни

В 2024 году одной из инициатив ЦБ станет введение персональной ответственности топ-менеджеров банков за утечки персональных данных, банковской тайны или иной защищаемой информации. В частности, в январе Банк России предложил на 10 лет отстранять таких сотрудников от текущей работы и запретить им в течение этого срока занимать аналогичные позиции в иных компаниях финансовой сферы.

Как пояснили Forbes в пресс-службе ЦБ, персональная ответственность будет предусмотрена для должностей уровня заместителя руководителя финансовой организации. Оценка влияния произошедших инцидентов на деловую репутацию будет проходить «в соответствии с уже установленными в Банке России процессами оценки соответствия требованиям к деловой репутации». Регулятор пообещал проводить тщательную проверку каждого инцидента перед применением мер к конкретному лицу.

Сейчас проект проходит межведомственное согласование, отмечает представитель ЦБ. Глава думского комитета по финансовым рынкам Анатолий Аксаков подтвердил, что законопроект еще не поступал в Госдуму. «Вопрос о том, насколько строгой должна быть ответственность за утечки данных в банках, должен решаться исходя из простой логики: каждый сотрудник, от рядового клерка до управленца, курирующего направление информационной безопасности, должен добросовестно выполнять свои обязанности. В таком случае смягчать существующие положения законопроекта, касающиеся десятилетней дисквалификации, считаю нецелесообразным», — заявил депутат.

Материал по теме

Как отнеслись к инициативе банкиры и IT-компании

Банкиры в целом согласны с ЦБ в вопросе введения персональной ответственности, но указывают на спорные моменты законопроекта в его текущей редакции. По словам зампредправления Сбербанка Станислава Кузнецова, курирующего направление информационной безопасности, должна быть личная ответственность руководителей, в том числе первых лиц, за утечки, но каждый инцидент должен быть расследован на принципах «точных данных, аналитики и достоверности». «Главное, чтобы высокий уровень ответственности первых лиц не перетек в дискредитацию, попытки сведения счетов, вбросы и компиляции данных, выброшенных на рынок», — заявил банкир в ходе Уральского форума «Кибербезопасность в финансах».

Предотвращения утечек конфиденциальной информации — это комплексные мероприятия, которые включают в себя не только организационные меры, но и высокопродуктивные меры технического характера, требующие финансовых вливаний, отметил в разговоре с Forbes представитель РСХБ. По его мнению, страхование от киберугроз в организациях, которые могут пострадать в результате кибератак и утечек персональных данных, и подобное страхование физических лиц, в том числе клиентов организаций банковской системы, могло бы служить дополнительным фактором в решении проблемы утечек. Кроме того, в РСХБ опасаются, что инициатива ЦБ повлияет на дефицит IT-управленцев в банковской сфере. «В случае слишком сильного ужесточения законодательства на рынке труда может сложиться дефицит высококвалифицированных специалистов, способных организовать мероприятия по выстраиванию эффективных мер защиты на современном уровне», — отмечает представитель банка.

Сама идея фокусировки ответственности за утечку на топ-менеджменте, на первый взгляд, является правильной, так как именно топ-менеджмент определяет стратегию информационной безопасности, но важно правоприменение, отмечает руководитель отдела консалтинга F.A.C.C.T. Роман Сюбаев. «Если утечка информации будет автоматически приводить к наказанию, то, во-первых, будет очень мало желающих занимать «расстрельное» место в топ-менеджменте, а во-вторых, это приведет к отказу от риск-ориентированного подхода в области выстраивания защиты информации и переходу к бизнес-неориентированному, где в рамках выстраивания защиты будет стремление к принципу «защитимся от всего». Ответственность должна быть не за утечку информации как таковую, а за доказанное недобросовестное управление ИБ в организации», — настаивает он.

Материал по теме

По мнению партнера Comply Сергея Сайганова, 10 лет дисквалификации — это очень много, особенно с учетом того, что управленцев такого уровня на рынке мало. «Если и говорить конкретно о дисквалификации, то нужно все-таки устанавливать разумные сроки», — заявил он.

ЦБ, напротив, уверен, что законопроект не окажет негативного влияния на обеспечение отрасли кадрами. Анатолий Аксаков выразил надежду, что принимаемые меры отпугнут лишь потенциальных мошенников. Вместе с тем он оценил дефицит IT-специалистов в кадровой сфере в 300 000 человек.

По данным сервиса по подбору персонала и поиску вакансий SuperJob, за 2023 год число таких вакансий, связанных с кибербезопасностью в финансовой сфере, выросло в России на 21%, а годовой прирост зарплатных предложений работодателей таким специалистам в Москве, где находятся головные офисы многих крупных финансовых организаций страны, составил 8,8%.

ЦБ с пониманием отнесется к объективным сложностям — проблемам, связанным с импортозамещением, целенаправленным кибератакам или дискредитации российских банков и их топ-менеджмента, уверяет Аксаков. «Банк России обладает самой высокой квалификацией, чтобы рассматривать и выносить решения по таким кейсам. А у банкиров для защиты будут разные механизмы — поддержка банковских ассоциаций и возможность апелляции», — заключает он.

Материал по теме

Как сейчас наказывают за утечки?

Юристы, опрошенные Forbes, разошлись в оценках законопроекта. По мнению партнера юридической компании «Соничев, Казусь и партнеры» Александра Казуся, оговорка о «неоднократной утечке данных» говорит об адекватности предложенного наказания. Сейчас распространена практика сливать похищенные данные частями, имитируя повторные взломы, спорит Сергей Сайганов. «То есть хакеры в рамках одной кибератаки выгрузили базу данных, часть данных слили сразу, а вторую часть — через полгода, при этом заявляя о повторной атаке. В этом случае компании и управленцам достаточно тяжело оправдать себя и свою инфраструктуру», — считает он. В 2023 году, действительно, были зафиксированы случаи, когда злоумышленники выдавали старые слитые данные за новые крупные утечки для привлечения повышенного внимания, соглашается представитель F.A.C.C.T.

Адвокат Александр Бабичев обращает внимание на то, что доступ к данным внутри организации имеет не один человек, а несколько десятков, в числе которых сотрудники с низкими доходами. «По сути, люди, получающие небольшие зарплаты, оперируют данными на много миллионов рублей, и соблазн ими воспользоваться велик», — считает он.

В текущей судебной практике за разглашение персональных данных ответственность возлагается в основном на компании, говорит управляющий партнер юридической компании КМК Максим Морозов. По его словам, в проанализированных им по просьбе Forbes делах ответственность за утечки несли именно юрлица. В среднем ее размер составлял от 25 000 до 70 000 рублей, при этом на банки чаще всего суды налагали ответственность в размере 60 000 рублей.

Кейсов, когда за утечки привлекли конкретно топ-менеджеров, крайне мало, подтверждает Сергей Сайганов. Чаще ответственность ложится на исполнителей или генерального директора, а директор по информационной безопасности обычно остается с дисциплинарным взысканием, максимум увольнением. «Равно как и рядовые сотрудники: в моей практике не было случаев, когда сотрудника наказывали в рамках административного или уголовного судопроизводства за непредотвращение утечки», — отмечает эксперт.

Материал по теме