Компании в секторе кибербезопасности могут исключить из закона о персональных данных

Для сотрудников компаний в секторе кибербезопасности могут исключить возможность уголовной ответственности при получении доступа к персональным данным (ПД) в результате профессиональной деятельности. Минцифры, Совет Федерации и участники рынка обсуждают возможность исключения ИБ-компаний (ИБ — информационная безопасность) из-под действия закона «О персональных данных», пишут «Ведомости» со ссылкой на двух топ-менеджеров крупных компаний сектора и на собеседника в профильной IT-ассоциации. Об инициативе также знает и президент ГК InfoWatch Наталья Касперская, уточнила газета. 

Сейчас сотрудникам таких компаний, которые получили доступ к персональным данным граждан, может грозить до 10 лет лишения свободы. Это связано с тем, что в конце ноября 2024-го Владимир Путин подписал законы, ужесточающие ответственность за утечки ПД и их незаконный оборот. В частности документ ввел уголовную ответственность за незаконные использование и передачу таких данных. Как отмечают «Ведомости», поправки в ФЗ-152 «О персональных данных» коснулись не только компаний, допустивших утечку, но и тех, кто занимается незаконным хранением, сбором и передачей данных, полученных незаконным путем. 

Так, под действие новых норм стали попадать многие специалисты по информационной безопасности, пояснил газете заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУРа Руслан Пермяков. По его словам, речь идет о сотрудниках, которые занимаются расследованием компьютерных преступлений, сбором информации из открытых источников (OSINT) и проверкой систем на уязвимость. Они могут получить доступ к персональным данным без соответствующего согласия в результате своей профессиональной деятельности. 

По данным «Ведомостей», этот вопрос впервые обсуждался в ноябре 2024-го на закрытой встрече на площадке «Кибердома». Поправки, выводящие ИБ-компании из-под действия закона, планировалось внести еще к третьему чтению законопроекта, но это не успели сделать, рассказал источник газеты в профильной ассоциации. Теперь же эти изменения потребуют разработки отдельного законопроекта. 

Белые хакеры, которые специализируются на тестировании безопасности компьютерных систем, сейчас находятся в серой зоне правового поля, отметил руководитель направления по развитию ИБ-интегратора «Телеком биржа» Александр Блезнеков. С одной стороны, проверка систем на уязвимость не запрещена, а в отдельных нормативно-методических документах по защите информации есть прямое требование регуляторов о необходимости проведения таких работ. С другой стороны, нет и границ для случаев, когда действия специалистов подпадают под КоАП или УК, отмечает эксперт. Поэтому в некоторых случаях вопрос о законности может оставаться на усмотрение правоохранителей или суда, пояснил Блезнеков.

По данным Positive Technologies и BI.Zone, за 2024 год «белые хакеры» выявили тысячи уязвимостей в IT-системах российских компаний и госучреждений. Так, на платформе Standoff Bug Bounty было всего опубликовано 4658 отчетов об уязвимостях, из которых принято (то есть их авторы получили оплату за найденную уязвимость) — 1926. На BI.Zone Bug Bounty — 4451 отчет, из них принято 1500. При этом критически опасной оказалась каждая пятая уязвимость, выявленная в государственных IT-системах, заявили в Positive Technologies. 

В Минцифры сообщали, что с ноября 2023-го по ноябрь 2024 года «белые хакеры» обнаружили почти 280 уязвимостей в 10 госсистемах. Большая часть из них — средней и низкой степени критичности, отметили в ведомстве. За найденные в госсистемах уязвимости багхантеры получили выплаты в 12,7 млн рублей.