Расследующий утечки данных бизнес могут освободить от уголовной ответственности

Вывести из-под удара

Бизнес вместе с регулятором обсуждает возможность выведения из-под уголовной ответственности, которая сейчас грозит за незаконные использование и передачу персональных данных, расследование утечек последних, рассказала на минувшей неделе в ходе конференции Data Fusion директор по стратегическим проектам Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Сбер», Газпромбанк, Т-Банк, Россельхозбанк, «Мегафон», «Ростелеком», билайн, МТС, ВТБ, Avito, HeadHunter и др.) Ирина Левова. Такие расследования, по ее словам, могут проводить как компании, непосредственно работающие в сфере кибербезопасности, так и бизнес «со зрелым уровнем ИБ», для которого эта деятельность не является профильной. Соответствующую инициативу обсуждает сейчас АБД на площадке Минцифры.

Forbes ознакомился с соответствующими поправками в закон «О персональных данных» и Уголовный кодекс. Это еще не финальная версия, документ еще будет обсуждаться, отметили в АБД.

Закон, устанавливающий уголовную ответственность за незаконное использование, передачу, сбор или хранение персональных данных, был принят в ноябре 2024 года и вступил в силу в декабре. За утечку предусмотрены штрафы либо принудительные работы на срок до четырех лет, либо лишение свободы на тот же срок. Если произошла трансграничная утечка персональных данных, которая повлекла тяжкие последствия, максимальное наказание составляет 10 лет лишения свободы.

Согласно предлагаемым изменениям, действие этой статьи закона не будет распространяться на компании и организации, которые ведут собственные исследования утечек на предмет компрометации персональных данных своих клиентов. Также предполагается, что уголовная ответственность не будет также грозить крупным участникам рынка кибербезопасности, ведущим такие исследования и имеющим лицензию на «техническую защиту конфиденциальной информации». То есть тех, чей размер капитала составляет не менее 1 млрд рублей или же не менее 100 млн рублей, но компания более половины своих доходов получает от деятельности в области защиты информации.

В Минцифры Forbes сообщили, что министерство прорабатывает предложения АБД вместе с заинтересованными ведомствами и отраслью.

«На свой страх и риск»

В АБД считают ужесточение ответственности за утечки «вполне логичной мерой». «Однако сейчас возникло общее понимание, что законные случаи использования утечек нужно однозначным образом вывести из-под уголовного состава, чтобы не было двоякого толкования в рамках правоприменительной практики», — рассуждают в ассоциации.

Случаи, которые сейчас попали в серую зону, — это расследования ИБ-подразделениями принадлежности компании к конкретной утечке, мероприятия по защите клиентов, данные которых скомпрометированы, выполнение обязанности по уведомлению Роскомнадзора в случае, если факт утечки подтвержден, тестирование на проникновение, перечисляют в АБД. «Сейчас обсуждается конструкция, в рамках которой такую деятельность может вести только бизнес со зрелой информационной безопасностью или ИБ-компании. У регулятора должно быть понимание, кто именно имеет право на это, при условии, что контур ИБ таких компаний соответствует установленным требованиям», — подчеркнули в АБД.

Актуальность обсуждаемых нововведений подтверждают эксперты в сфере ИБ. По мнению источника Forbes в отрасли кибербезопасности, сейчас правовые противоречия «ставят под угрозу ИБ-специалистов компаний, деятельность которых фактически запрещена и приравнивается к киберпреступлению».

Сегодня бизнес работает с утечками «как и раньше, но на свой страх и риск», обращает внимание собеседник Forbes в одной из ИБ-компаний. «Это ежедневный и очень важный труд по наблюдению за утечками в теневой части интернета: прежде всего, конечно, поиск скомпрометированных данных клиентов и сотрудников», — указывает он, добавляя, что силовым ведомствам нужно определить круг компаний, которые могут работать с утечками. Отсечение по размеру капитала предлагается, скорее всего, для того, чтобы отсечь «серый» сегмент ИБ-рынка, полагает эксперт. При этом источник Forbes в кибербезопасности считает, что стоит продолжить работу над критериями. «Если все оставить как есть, то бизнесу нужно или отказаться от мониторинга утечек, что приведет к снижению защищенности клиентов, либо же изобретать «серые» схемы для их изучения вне организации, что само по себе небезопасно», — заключает он.

Укрупнение крупных

По мнению проджект-менеджера MD Audit (ГК Softline) Кирилла Левкина, нововведения обеспечат «более прозрачные и безопасные условия» для законной работы с инцидентами, связанными с потенциальными утечками персональных данных. «Сейчас частный детектив или IT-расследователь даже открыть файл с копией данных из утечки без прямого поручения сотрудника правоохранительных органов не может под угрозой уголовного преследования, — замечает адвокат, специалист по IT-безопасности, старший партнер проекта «Сетевые свободы» Станислав Селезнев. — Ведь если утечка (то есть копирование данных без разрешения субъектов персональных данных) произошла, то любое взаимодействие с ней в силу текущего законодательства недопустимо».

«В первую очередь поправки предоставят нашим специалистам по информационной безопасности четкие правовые гарантии. Они будут уверены, что их действия, направленные на защиту клиентов, не будут расценены как уголовно наказуемые», — оптимистичен Кирилл Левкин.

Однако аналитики также обращают внимание и на то, что нововведения могут иметь негативный эффект и на развитие конкуренции на рынке. Они могут создать преимущество крупным игрокам, которые будут предлагать более комплексные услуги по расследованию, не опасаясь последствий, полагает генеральный директор и основатель сервиса автоматизации коммуникации с клиентами «Лия» Демьян Грин.

Эксперты также допускают, что принятие поправок в предложенном виде может привести к укрупнению лидеров на ИБ-рынке. Предложения Минцифры и АБД, по его мнению, выглядят как написанные в интересах лидеров рынка кибербезопасности, чей бизнес поставлен под угрозу существования принятыми в конце года поправками в УК, говорит Станислав Селезнев. «Небольшие компании передадут свои контракты более крупным игрокам, а сами будут выступать на подряде. Это, в свою очередь, может усложнить коммуникации среди всех участников и привести к росту цен для заказчиков», — считает генеральный директор SDS Fusion Дмитрий Ефимов.