Минцифры предложило повысить штрафы за утечку данных

"Минцифры подготовило законопроект об оборотных штрафах, там достаточно серьезные штрафы - до 3% от оборота предусмотрены в случае, если компания не обеспечила сохранность данных", - сказал Шадаев на заседании президиума фракции КПРФ в среду.

При этом, по словам министра, есть два момента, на которых минцифры будет настаивать, когда законопроект будет проходить через Госдуму.

"Во-первых, смягчающим обстоятельством будет являться случай, если компания аттестовала и сертифицировала всю свою инфраструктуру, усилила меры безопасности, в добровольном режиме продемонстрировала, что инвестиции в средства защиты сделаны, - максимально все, что можно было предпринять", - цитирует министра "Интерфакс".

Во-вторых, будут учитываться случаи, когда компания компенсирует ущерб тем гражданам, чьи данные утекли. Если с двумя третями граждан вопросы урегулированы в досудебном порядке и выплачены компенсации, это тоже будет смягчающим обстоятельством, сказал Шадаев.

Министр подчеркнул, что, предлагая ввести оборотные штрафы, минцифры не ставит целью собрать побольше денег в бюджет.

"До 3% оборотные штрафы заставят компании инвестировать больше средств в безопасность. Нам кажется, что здесь это главная мотивация. Не больше штрафов собрать, а именно чтобы коллеги инвестировали в инфраструктуру", - сказал он.

Министр обратил внимание, что сегодня идет активная работа по внедрению биометрической идентификации, преимущественно через банки. "Мы считаем, что порядка 70 млн наших граждан сдали свою биометрию", - сообщил он. Министр отметил, что условия хранения биометрической информации, к сожалению, оставляют желать лучшего, учитывая в том числе утечки персональных данных.

В этом году СМИ не раз писали о ряде крупных утечек. В частности, данные утекали у "ВымпелКома", "Ростелекома", Delivery Club, "Яндекс.Еда", сервиса Whoosh. Последняя громкая утечка данных клиентов произошла в начале декабря. Жертвами стали клиенты розничной сети "ВкусВилл". Речь, по данным компании, шла о номерах телефонов, адресах электронной почты и последних 4 цифрах номера банковской карты.

По данным Роскомнадзора, в 2022 году было зафиксировано около 60 инцидентов разного масштаба, связанных с утечками данных.

По закону организация, обрабатывающая персональные данные, полностью отвечает за их сохранность. Но это в теории. Пока что ответственность очень слабая, если не сказать символическая: статья 13.11 КоАП РФ предусматривает максимальный штраф в 75 тысяч рублей и рекомендацию больше так не делать.

Объем персональных данных, которые попали в открытый доступ вследствие самых крупных утечек в 2022 году, составил более 1,5 млрд записей, говорит Юлия Новикова, эксперт Kaspersky Threat Intelligence. При этом проанализированы были только самые крупные утечки.

"Мы проанализировали только топ-10 самых громких крупных утечек, о которых вы наверняка слышали, это были яркие инфоповоды в этом году", - поясняет она. Это не уникальные записи.

Кроме того, по словам Новиковой, как только данные оказываются в открытом доступе, злоумышленники используют их для комбинирования.

"Это необходимо, чтобы создать правдоподобную историю для их потенциальной жертвы, что преступник все о вас знает. Эти данные комбинируются, можно сказать, взаимно переопыляются для того, чтобы собрать более конкретную и подробную информацию о человеке и более таргетированно ему звонить, задавать вопросы, предлагать перевести деньги и т. д.", - добавила она.

При этом, по словам главы Комитета Госдумы по информполитике Александра Хинштейна, в настоящее время ведется работа по наказанию и тех, кто использует украденные базы данных.

"Существующие сегодня нормы законодательства очевидно несоразмерны тяжести правонарушений и их последствий. Сегодня у нас есть только административная ответственность. Поэтому мы с минцифры разрабатываем ряд инициатив. В частности, обсуждаем и вопрос о введении уголовной ответственности за работу с заведомо криминальными базами", - сообщил он.