Дело принимает дурной оборот: как в 2024 году власти намерены бороться с утечками

Ответный ход

Утечки данных в уходящем году оставались одной из самых актуальных киберугроз. Власти так и вовсе объявили им крестовый поход. Ужесточить наказание за утечки данных россиян решили после того, как это случилось в ряде крупных компаний и сервисов, в том числе в «Яндекс Еде», Delivery Club, СДЭК, «СберСпасибо». В октябре 2023 года Роскомнадзор подтвердил утечку персональных данных почти 1 млн клиентов МТС Банка.

С июля до наступления зимы бизнес готовился к поправкам в КоАП, предусматривающим оборотные штрафы за утечки персональных данных. Документ, внесенный летом на рассмотрение в правительство сенаторами Андреем Турчаком, Ириной Рукавишниковой и депутатом Александром Хинштейном, предполагал наложение штрафов не за факт утечки личной информации, а за «действия или бездействия оператора персональных данных, повлекшие неправомерную передачу информации, включающей персональные данные». Сумму штрафа за первую утечку предполагалось сделать фиксированной, а вот повторная уже зависела бы от оборота компании.

Это был уже не первый подход к снаряду: введение оборотных штрафов обсуждалось с весны 2022 года. В Минцифры тогда планировали определить понятие утечки и предусмотреть в документе и смягчающие обстоятельства для компаний, которые сделали все возможное для защиты информации своих клиентов. В частности, предполагалась добровольная аккредитация компаний по критериям информационной безопасности. Весной этого года регулятор предложил в качестве смягчающего обстоятельства при утечках персональных данных учитывать добровольные выплаты компанией компенсаций пострадавшим.

Выпросить смягчение не получилось, хотя бизнес как мог пытался отбиться от оборотных штрафов. Сначала компании с помощью отраслевых ассоциаций писали письма депутатам, Минцифры и правительству (даже Ассоциация предприятий черной металлургии «Русская сталь» отметилась в числе выступивших с критикой законопроекта) о том, что поправки затронут весь российский бизнес и приведут к произвольному правоприменению и несоразмерной ответственности. А потом предложили властям в качестве альтернативы механизм саморегулирования, который, по мнению членов Ассоциации больших данных, позволит гарантировать «наивысшую степень защиты данных на уровне отрасли». Речь шла об отраслевом стандарте защиты данных, который включал бы в себя независимый аудит для IT-компаний на соответствие предложенному стандарту.

Законодательные метаморфозы

Не помогло. Хотя Минцифры и поддержало идею аудита защищенности операторов персональных данных, законопроекты, ужесточающие наказание за утечки, в декабре все же поступили в Госдуму. Один из документов, как и предлагалось ранее, вносит поправки в КоАП — юридическому лицу нужно будет заплатить за утечку данных от трех до 15 млн рублей в зависимости от ее объема. За повторные утечки грозит еще большее наказание — штраф до 500 млн рублей или 3% от оборота.

Второй стал неожиданностью — он вносит изменения в Уголовный кодекс, устанавливая для нарушителей даже уголовную ответственность. Так, лишение свободы до восьми лет будет грозить тем, кто вывозит данные граждан России за рубеж для их продажи или передачи. Если же утечка повлекла вред жизни и здоровью граждан, а также общественной безопасности, или же речь идет об оргпреступности, то «это уже 10 лет тюрьмы», отметил в своем Telegram-канале один из авторов законопроекта, секретарь генсовета партии «Единая Россия» Андрей Турчак. Уголовная ответственность предусмотрена и для тех, кто делает бизнес на краденных данных, — до пяти лет лишения свободы и большой штраф.

«Действующие меры ответственности за утечку данных (максимум 100-300 000 рублей для юрлиц) мало кого стимулируют. В результате сегодня на черном рынке круговорот баз с персональных данными оценивается в 20 000 [баз данных]. Они содержат информацию примерно о 80% населения России. По самым скромным оценкам, ущерб от утечек только в прошлом году составил около 8 млрд рублей», — такие данные приводил Турчак, не указывая, впрочем, их источник.

Это еще не все: перед самым Новым годом депутаты предложили поправки в закон «О связи», позволяющие Роскомнадзору проводить внеплановые проверки утечек персональных данных, «необходимые для оперативного реагирования на инциденты». Объясняя необходимость этого документа, глава думского комитета по информполитике Александр Хинштейн ссылался на то, что только за первое полугодие число таких инцидентов выросло в четыре раза: с 19 до 76. В сеть, по его словам, «утекли» 177 млн записей с персональными данными россиян.

Упрямые цифры

Проблема сохранности персональных данных действительно остается острой, тут не с чем спорить. «На утечки обратили внимание все: бизнес, государство, пользователи. Проблема стала очевидной, — рассуждает ведущий консультант по информационной безопасности Innostage Татьяна Никонорова. — Для нее активно ищется решение, которое устраивало бы, с одной стороны, бизнес с точки зрения затрат на структуру защиты, с другой — государство и пользователей в разрезе защиты данных».

Подводя итоги 2023 года, компании, которые занимаются кибербезопасностью, рапортуют о росте объемов утекшей информации и о все новых украденных базах данных. Так, по данным отчета «О значимых утечках данных в России» от «Лаборатории Касперского», за 10 месяцев 2023 года зафиксировано 133 случая публикаций значимых* (когда скомпрометировано более 5000 строк пользовательских данных, либо которые получили резонанс в СМИ) баз данных российских компаний. По сравнению с 2022 годом самих объявлений об утечках стало меньше, но объем опубликованных данных вырос на 33%.

Свою статистику на эту тему показывают в компании F.A.С.С.T.: в 2023 году аналитики подразделения Threat Intelligence зафиксировали на андеграундных форумах и в тематических Telegram-каналах появление 246 новых украденных баз данных российских организаций (в 2022 году утечек было чуть больше — 311). Причем, если в 2022 году киберпреступники атаковали всех, даже самые маленькие компании, то в этом году фокус сместился на атаки крупных организаций, от которых киберпреступники могут получить какую-либо выгоду, используя украденные данные. «Как и ранее, большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно для нанесения наибольшего ущерба компаниям и их клиентам, — указывают в F.A.С.С.T. — Однако часть утечек злоумышленники не публиковали в открытом доступе — продавали или использовали в последующих каскадных атаках на крупных игроков коммерческого и государственного секторов».

В новом году количество атак на IT-инфраструктуру будет расти, полагают эксперты. Чем больше компаний уходит в онлайн, тем больше возможностей для реализации корыстных целей появляется у злоумышленников, считает руководитель департамента информационной безопасности «Сиссофт» Дмитрий Ковалев.

Еще одним следствием остроты ситуации участники рынка называют то, что компании стали обращать больше внимания на защиту доступа к данным со стороны сотрудников. «Как минимум оценивать новые подходы решения проблемы, — говорит генеральный директор IT-компании RooX Алексей Хмельницкий. — Например, все чаще говорится о подходе zero trust или «нулевого доверия», когда элементы информбезопасности стали включать на каждый этап создания информационных систем. Во многих компаниях теперь даже постоянные сотрудники, работающие внутри корпоративной сети, должны проходить дополнительную аутентификацию для совершения определенных действий с данными».

Что не так с поправками

Сам по себе закон не уберет риски, но так государство и регуляторы подчеркивают: риски есть, и с ними надо работать, констатирует Дмитрий Ковалев: «Уровень ответственности и объем штрафов, прописанный в законопроектах, показывает, насколько внимательно бизнес должен отнестись к этому вопросу». О том, что бизнес в целом прекрасно понимает все риски, свидетельствуют растущие затраты российских компаний на кибербезопасность. Так, к 2025 году они планируют увеличить расходы на ИБ в среднем на 14%, говорится в исследовании «Лаборатории Касперского». Рост рынка кибербезопасности по итогам 2023 года может составить 15-20%, а его объем — достичь 254 млрд рублей.

Впрочем, аналитики и участники рынка продолжают настаивать: несмотря на то что утечки персональных данных в последние два года действительно стали реальной проблемой государственного масштаба, предложенные меры борьбы с ними далеки от идеала. По словам коммерческого директора Servicepipe Данилы Чежина, более строгая ответственность вынудит иначе подходить к задачам по обеспечению защищенности. «Это потребует от компаний дополнительных затрат, которые вместе с рисками уплаты штрафов ожидаемо лягут на плечи пользователей и конечных потребителей, что при уровне инфляции выше целевой может быть не вполне оправданным», — предостерегает он.

Предложенные в текущей версии формулировки состава правонарушения создают «критические риски» для IT-отрасли, а потенциальная нагрузка на бизнес от оборотных штрафов «нуждается в корректировке с учетом текущей экономической обстановки», — заявили Forbes в Ozon, добавив, что принятие законопроекта в текущей версии может иметь «негативные последствия для российского IT рынка и нивелировать позитивный эффект от уже реализованных мер его поддержки».

Введение оборотных штрафов, по мнению властей, станет стимулом для бизнеса усилить меры по обеспечению сохранности данных пользователей. При этом практика оборотных штрафов в российских правовых реалиях невелика, обращает внимание преподаватель образовательной платформы Moscow Digital School Александра Орехович. Уже несколько лет они применяются за нарушение антимонопольного регулирования, и, по ее словам, в этой связи расчет оборотного штрафа представляется логичным: как правило, берется выручка от реализации товара, на рынке которого совершено правонарушение. В случае же с утечками, продолжает Орехович, регулятор идет по пути наложения оборотного штрафа в сумме общей выручки компании: «Это означает, что штрафы будут крайне внушительными для компаний».

Орехович убеждена: говоря о перспективах введения оборотных штрафов, необходимо предусмотреть механизмы, позволяющие избежать безвиновной ответственности оператора: когда оператор учел все риски, принял все меры, «но, например, стал жертвой беспрецедентной кибератаки, случаи которых кратно увеличились в последние два года». С ней согласен источник Forbes в одной из крупнейших интернет-компаний России: «В результате, кроме потерь от атаки, бизнес еще будет оштрафован государством». Также помимо безвиновной ответственности есть, по его словам, и «второй противоречивый момент»: размер штрафа за утечку предлагается повышать в 150 раз за первый случай и в 1667 раз за повторный. «Очевидно, это непропорциональное повышение, которое предлагают ввести вместо поступательной шкалы», — говорит собеседник Forbes.

«Если мы посмотрим на тенденции регулирования в различных странах, то введение инструментов, понуждающих компании к увеличению расходов на кибербезопасность, достаточно распространены. Дьявол, как обычно, кроется в деталях, — рассуждает генеральный директор Института исследований интернета Карен Казарян. — Так, в проекте российского ФЗ компания будет наказана вне зависимости от ее действий. Тогда как в мире обычно наказывают за ненадлежащие меры по защите данных. Доказать свою невиновность, даже в случае хакерской атаки, практически невозможно. А в таком случае зачем тратить на безопасность сверх минимально необходимого по закону?».

Для работоспособности меры, по мнению Казаряна, нужен не только кнут, но и пряник: разумное наказание за четкий состав правонарушения и возможность его избежать или смягчить для законопослушного бизнеса. «Кроме того, остро нуждаются в обновлении сами нормативные принципы защиты информации, которые совершенно не поспевают как за актуальными угрозами, так и за появляющимися инструментами защиты, — добавляет он. — А долгий (более двух лет) срок сертификации решений по кибербезу делает это отставание хроническим».