Как устранить утечку
В Госдуму внесен законопроект, позволяющий Роскомнадзору проводить внеплановые проверки утечек персональных данных (ПД) и ввести оборотные штрафы за их допущение.
Проблема защиты ПД россиян стоит крайне остро — особенно, когда за ними буквально открыли охоту хакерские группировки из недружественных стран, написал глава комитета Госдумы по информационной политике, информационным технологиям и связи, соавтор поправок Александр Хинштейн.
«В 2023 году мошенники получили доступ к 240 млн уникальных телефонных номеров и 123 млн адресов электронной почты россиян. За первое полугодие число таких инцидентов выросло в четыре раза — с 19 до 76. В Сеть утекли 177 млн записей с персональными данными. Пакет законопроектов предполагает резкое увеличение размеров штрафов для операторов персональных данных, вплоть до оборотных за повторные утечки. А для тех, кто получает и использует их незаконным путем, мы предлагаем ввести уголовную ответственность — до 10 лет лишения свободы», — пояснил Александр Хинштейн.
Не самая лучшая инициатива законодателей, но безусловно правильная и направлена на повышение безопасности и минимизации рисков, связанных с персональными данными, считает генеральный директор ITGLOBAL.COM Security Александр Зубриков. Для оптимизации и эффективности данных проверок эксперт предложил ввести практику, схожую с QSA-аудитами (Qualified Security Assessor — квалифицированная оценка безопасности, — прим. ред.), чтобы такие проверки проводили доверенные лицензиаты и подтверждали эффективность применимых мер по информационной безопасности (ИБ).
Директор по аналитике АНО «Цифровая экономика» Карен Казарян, напротив, убежден в том, что текущего регламента достаточно для проведения подобных проверок. «До конца 2024 года внеплановые контрольные (надзорные) мероприятия в отношении компаний, включенных в реестр аккредитованных российских организаций в области информационных технологий, проводятся по согласованию с прокуратурой, по решению руководителя Роскомнадзора/заместителя руководителя, если установлено распространение (предоставление) в интернете баз данных (их части) с персональными данными в соответствии с постановлением правительства № 448 от 24 марта 2022 года», — уточнил Карен Казарян.
Внеплановые проверки утечек персональных данных способствуют повышению осведомленности компаний о важности защиты этой информации и подталкивают к принятию соответствующих мер, добавил директор центра компетенций по информационной безопасности «Т1 Интеграция» Виктор Гулевич.
«Во-первых, утечки могут быть обнаружены и устранены раньше, что повышает доверие пользователей и защищает их права. Во-вторых, проведение проверок может стимулировать компании внедрять более надежные механизмы защиты данных, что в целом положительно отразится на отрасли. Суммы оборотных штрафов должны быть достаточно ощутимыми, чтобы служить действенным сдерживающим фактором для предотвращения утечек персональных данных, но не настолько высокими, чтобы нанести неприемлемый ущерб компаниям и отрасли», — считает эксперт.
Вопрос с введением оборотных штрафов взялся не из воздуха, а из-за критической ситуации с утечками ПД и наплевательскому отношению к ИБ во многих компаниях, поэтому эта инициатива полезная, хотя немного запоздалая, подчеркнул Александр Зубриков. Он также считает, что необходимы дополнительные стимулы, чтобы руководители компаний начали выделять ресурсы на защиту конфиденциальных данных.
«Дело скорее не в отрасли информационных технологий. К примеру, в оборот банков включены все вклады клиентов по бухучету, поэтому оборотный штраф получается гигантским. А если коснуться промышленности, транспорта? Штрафы должны учитывать особенности отрасли. Необходимо снижение или дифференциация сумм штрафа, введение смягчающих обстоятельств, института расследования утечек, а главное — наказание должно быть за нарушение мер безопасности, а не за факт утечки», — подчеркнул Карен Казарян.
Эксперты озвучили несколько предложений по доработке законопроектов. Виктор Гулевич счел важным аспектом разработку и утверждение базовой терминологии, которая будет использоваться для определения понятия «утечка» и описания процессов и технологий защиты. «Важно закрепить в стандарте роли и функции подразделений, которые участвуют в процессах защиты от утечек данных, а также создать методический документ, который будет детально описывать, как организовывать процессы», — предложил Виктор Гулевич.
Александр Зубриков обратил внимание на то, что в предложенных изменениях в статье 13.11 КоАП РФ отсутствует пункт про компенсацию пострадавшим субъектам ПД. «Не предусмотрено снижение наказания для тех компаний, которые сделали все возможное, чтобы защитить данные и избежать утечки. А подтверждением выполнения могут служить аккредитованные организации. Снижение штрафов для добросовестных компаний будет лучшей стимуляцией для руководителей, чтобы вкладывать средства и ресурсы в защиту данных», — считает Александр Зубриков.
Авторизация по новым правилам
На российских интернет-площадках авторизация пользователей стала возможна только определенными законом способами: по номеру мобильного телефона, через портал «Госуслуги» и Единую биометрическую систему либо с использованием иной информационной системы, владельцем которой является гражданин России, не имеющий гражданства другого государства, или российское юридическое лицо, находящееся под российским контролем. Законом предусмотрен переходный период до 1 января 2025 года, в течение которого отечественные компании могут использовать свои информационные системы для проведения авторизации пользователей.
Идея в принципе хорошая, но учитывая нынешнее положение России на рынке приложений и сервисов, не совсем рабочая и будет зависеть от правоприменительной практики, считает ведущий аналитик Mobile Research Group Эльдар Муртазин.
«Проблема в том, что некоторые разработчики приложений для iOS и Android используют чужую систему. Так, если авторизоваться на “Госуслугах” не по номеру мобильного телефона, а, например, с помощью Единой биометрической системы, то разработчик обязан внести в договор систему заказчика, а она от Google либо Apple, которые в России не работают. Таким образом, мы сами ставим себе ограничения из-за того, что закон не учитывает права обладателей и платформ. В итоге у нас появится серое правовое поле», — рассуждает Эльдар Муртазин.
Эксперт предположил, что государственные организации и многие коммерческие компании будут следовать закону, и в будущем появятся российские системы, в которых проблемные моменты окажутся учтены. Либо компании будут создавать свои системы авторизации.
Треш-стримы запретят
В Госдуму внесен пакет законопроектов о запрете трансляции треш-стримов. Поправки предлагается внести в Уголовный кодекс, Кодекс об административных правонарушениях, а также в законы «Об информации, информационных технологиях и о защите информации» и «О защите детей от информации, причиняющей вред их здоровью и развитию».
Как поясняется на сайте Госдумы, фото- и видеоматериалы с изображением противоправных деяний, совершенных с жестокостью, их последствий, призывы к совершению указанных деяний предлагается включить в единый реестр сайтов с запрещенной информацией. Кроме того, могут быть введены элементы саморегулирования социальных сетей: на их владельцев наложат обязательство заниматься мониторингом в целях выявления незаконного контента. Законопроекты предусматривают наказание вплоть до уголовной ответственности.
Генеральный директор Ассоциации «Интернет-видео» Алексей Бырдин считает, что самым эффективным способом борьбы с треш-стримами и другим деструктивным контентом в формате прямых трансляций был бы мониторинг со стороны самих видеоплатформ социальных сетей, а также оперативное реагирование на жалобы пользователей на такие стримы. «Но в данном случае вводимая административная и уголовная ответственность будет, по мнению законодателей, выступать дополнительным фактором сдерживания этого недостойного явления», — резюмировал Алексей Бырдин.
Любой блогерский контент, созданный на основе аморального, ненадлежащего, жестокого отношения — это дискредитация всей индустрии инфлюенс-маркетинга (маркетинг влияния, — прим. ред.), считает руководитель проектной команды Ассоциации блогеров и агентств Тимур Ахмедов.
«Мы верим, что запрет такого рода контента в разы уменьшит его количество в интернете. К методам борьбы на данный момент можно отнести профилактические работы с подростками и молодежью, которые чаще всего и подвержены съемкам такого рода контента. Важно заниматься воспитательной работой, объяснять подросткам и молодежи, почему издевательства в любом проявлении — это неправильно», — предложил Тимур Ахмедов.
В целом ужесточение наказаний, как и введение новых запретов никогда не решало социальную проблему, напомнила старший юрист практики разрешения споров юридической компании ССП-Консалт Яна Кириллова.
«Количество таких треш-стримов может снизиться на незначительный процент, но здесь необходимо понимать, почему люди транслируют и смотрят треш-стримы? Их авторы таким образом зарабатывают и привлекают к себе внимание. Если лишить нарушителей этих бонусов, в том числе путем административных мер, тогда будет определенный результат. Уголовный кодекс РФ уже содержит нормы, предусматривающие ответственность за те или иные формы общественно опасного поведения, в том числе во время трансляции треш-стримов. Уголовный закон целесообразно дополнять только соответствующим отягчающим обстоятельством или квалифицированным составом, а не создавать отдельно новый состав, связанный с треш-стримом», — полагает юрист.
Блокировка такой информации и административная ответственность для ресурса, где размещается треш-стрим, станут эффективными способами борьбы с данным контентом. Поскольку ресурс, разрешая такой контент, по сути, содействует организатору треш-стрима, который еще и донаты за свой продукт собирает, заключила Яна Кириллова.
