14.12.2022 20:03
Поделиться

Минцифры предложило повысить штрафы за утечку данных

Минцифры предложит ввести штрафы до 3% от годового оборота компании за утечку персональных данных граждан, сообщил глава ведомства Максут Шадаев в Госдуме. Эта мера должна стимулировать крупные компании бережнее относится к данным пользователей. Сегодня компаниям проще заплатить незначительный штраф за утечку, нежели инвестировать значительные средства в защиту данных. Однако инициативы предполагают и смягчающие обстоятельства.
Регулярные утечки данных мешают в том числе и внедрению биометрии.
Регулярные утечки данных мешают в том числе и внедрению биометрии. / istock / Galeanu Mihai

"Минцифры подготовило законопроект об оборотных штрафах, там достаточно серьезные штрафы - до 3% от оборота предусмотрены в случае, если компания не обеспечила сохранность данных", - сказал Шадаев на заседании президиума фракции КПРФ в среду.

При этом, по словам министра, есть два момента, на которых минцифры будет настаивать, когда законопроект будет проходить через Госдуму.

Смягчающим вину будет то, что компания сделала все возможное для защиты данных

"Во-первых, смягчающим обстоятельством будет являться случай, если компания аттестовала и сертифицировала всю свою инфраструктуру, усилила меры безопасности, в добровольном режиме продемонстрировала, что инвестиции в средства защиты сделаны, - максимально все, что можно было предпринять", - цитирует министра "Интерфакс".

Во-вторых, будут учитываться случаи, когда компания компенсирует ущерб тем гражданам, чьи данные утекли. Если с двумя третями граждан вопросы урегулированы в досудебном порядке и выплачены компенсации, это тоже будет смягчающим обстоятельством, сказал Шадаев.

Министр подчеркнул, что, предлагая ввести оборотные штрафы, минцифры не ставит целью собрать побольше денег в бюджет.

"До 3% оборотные штрафы заставят компании инвестировать больше средств в безопасность. Нам кажется, что здесь это главная мотивация. Не больше штрафов собрать, а именно чтобы коллеги инвестировали в инфраструктуру", - сказал он.

Министр обратил внимание, что сегодня идет активная работа по внедрению биометрической идентификации, преимущественно через банки. "Мы считаем, что порядка 70 млн наших граждан сдали свою биометрию", - сообщил он. Министр отметил, что условия хранения биометрической информации, к сожалению, оставляют желать лучшего, учитывая в том числе утечки персональных данных.

В этом году СМИ не раз писали о ряде крупных утечек. В частности, данные утекали у "ВымпелКома", "Ростелекома", Delivery Club, "Яндекс.Еда", сервиса Whoosh. Последняя громкая утечка данных клиентов произошла в начале декабря. Жертвами стали клиенты розничной сети "ВкусВилл". Речь, по данным компании, шла о номерах телефонов, адресах электронной почты и последних 4 цифрах номера банковской карты.

По данным Роскомнадзора, в 2022 году было зафиксировано около 60 инцидентов разного масштаба, связанных с утечками данных.

По закону организация, обрабатывающая персональные данные, полностью отвечает за их сохранность. Но это в теории. Пока что ответственность очень слабая, если не сказать символическая: статья 13.11 КоАП РФ предусматривает максимальный штраф в 75 тысяч рублей и рекомендацию больше так не делать.

Объем персональных данных, которые попали в открытый доступ вследствие самых крупных утечек в 2022 году, составил более 1,5 млрд записей, говорит Юлия Новикова, эксперт Kaspersky Threat Intelligence. При этом проанализированы были только самые крупные утечки.

"Мы проанализировали только топ-10 самых громких крупных утечек, о которых вы наверняка слышали, это были яркие инфоповоды в этом году", - поясняет она. Это не уникальные записи.

Кроме того, по словам Новиковой, как только данные оказываются в открытом доступе, злоумышленники используют их для комбинирования.

"Это необходимо, чтобы создать правдоподобную историю для их потенциальной жертвы, что преступник все о вас знает. Эти данные комбинируются, можно сказать, взаимно переопыляются для того, чтобы собрать более конкретную и подробную информацию о человеке и более таргетированно ему звонить, задавать вопросы, предлагать перевести деньги и т. д.", - добавила она.

3 процента от оборота заплатят компании за утечку данных

При этом, по словам главы Комитета Госдумы по информполитике Александра Хинштейна, в настоящее время ведется работа по наказанию и тех, кто использует украденные базы данных.

"Существующие сегодня нормы законодательства очевидно несоразмерны тяжести правонарушений и их последствий. Сегодня у нас есть только административная ответственность. Поэтому мы с минцифры разрабатываем ряд инициатив. В частности, обсуждаем и вопрос о введении уголовной ответственности за работу с заведомо криминальными базами", - сообщил он.