Наталья Касперская: Для борьбы с утечками персональных данных нужна уголовная ответственность для руководителей
….об оборотных штрафах для руководителей
Оборотные штрафы - это все-таки наказание не для всех, оно затронет только часть субъектов, владельцев персональных данных. Например, оно не затрагивает государственные учреждения, утечки из которых носят массовый характер. И для них оборотный штраф - мера, которая не работает. Там нужны какие-то другие меры вплоть до уголовного наказания лиц, ответственных за защиту данных и, может быть, даже руководителей. Потому что, если мы к одной части игроков применяем какие-то жесткие меры, а к другой части вроде как нет, это просто не будет работать.
… о компаниях, допускающих утечки данных
Компании - обладатели больших персональных данных - не дураки, они этот закон тоже видят. Они начинают заранее стелить соломку и уже говорят, что множество персональных данных было украдено украинцами в этом и прошлом году. То есть о любой утечке данных можно заявить, что это данные, украденные ранее и не у нас. Расследование утечек - это сложно, дорого, а главное, трудноосуществимо в условиях административной ответственности и гражданского процесса. В рамках административного дела нельзя прийти к компании и заставить ее показать все данные. Получается, что даже для коммерческих компаний оборотных штрафов недостаточно.
… о коммерческом обороте данных
Если человек дает поисковые запросы в "Яндекс", потом он едет на "Яндекс Такси", потом заказывает себе еду через "Яндекс Еду", то идентифицировать человека можно однозначно. И тогда все ранее полученные данные становятся персональными. Уже давно в нашей стране дискуссия идет о том, где линия разграничения. На этот счет есть две крайних позиции. Например, Ассоциация больших данных полагает, что "персональные данные граждан - это собственность операторов больших данных", поскольку они эти данные собрали и на их основании оказывают пользователям услуги. Другая крайняя позиция - считать все данные, в том числе мета-данные, персональными. Но в этом случае никакие сервисы искусственного интеллекта в нашей стране работать не будут. Надо делать какие-то шаги с крайних позиций и в середине искать истину. Позицию Ассоциации нельзя принять полностью, потому что она совсем вакханалию устраивает с данными, и позицию "все закрыть" тоже нельзя использовать, потому что она полностью закрывает рынок. Конечно, мы, как безопасники, смотрим на это как на угрозу.
… о финансировании импортозамещения ПО
Есть одна (трудность) - на разработку системного ПО и ПО для разработки в прошлом году не было выделено средств. И, как объяснил нам министр, на 2023 год выделение средств на ЦКР не предполагается. Я согласна, что какие-то категории софта, относящегося к ЦКР, например, некоторые средства информационной безопасности, вполне можно сделать за свой счет. Тот же самый new generation firewall (NGFW) - на рынке есть конкурентные предложения, есть компании-разработчики, готовые вкладываться в тему и имеющие ресурсы. Но что касается средств разработки, компиляторов, языков программирования - кто это будет делать? ИСП РАН или НИИ "Восход"? Им, я так понимаю, денег на это не выделяют. Но подобные разработки невозможно запустить по рыночной модели, так как они не имеют рыночного сбыта. Нужны государственные вложения и государственная воля.
Дело даже не в том, что нет поддержки - нет определенности. Непонятно, что будет с ЦКР. Вроде как выделили определенные подкатегории, распределили их каким-то людям, а что дальше происходит - совершенно непонятно и происходит ли что-то. Вообще, создавать что-то без денег и без плана - малореалистично, на мой взгляд. И если ИЦК явно занимаются разработками для своих отраслей, потому что им это важно, то ЦКР оказались бесхозными.
… о легализации иностранного софта
Мы не поддерживаем легализацию использования иностранных продуктов. Мы считаем, что это - легализация пиратства. Удар и по своим в том числе. Потому что, де-факто, это узаконивание ворованного.
Во-первых, само воровство - нехорошо. Многие отечественные компании работают на зарубежных рынках. И им могут быть предъявлены претензии там. Во-вторых, узаконивания использования иностранного не будет мотивировать отечественные предприятия переходить на отечественное. Зачем? Когда есть импортное и бесплатно. Если же брать плату за иностранное, как предлагает минцифры, то возникает куча других вопросов: как это ПО будет приобретаться, по каким ценам, как и с кем торговаться. На что ориентироваться? На цены на американском рынке? С чего бы вдруг?
Если я, как потребитель, плачу деньги за иностранное ПО, то я бы хотела, чтобы у меня была хоть какая-то гарантия работоспособности этого ПО. Раньше, если мы покупали продукцию Microsoft и обнаруживались какие-то проблемы, то мы писали в отдел поддержки Microsoft. Она худо-бедно, но отвечала. А сейчас кому нам писать? Но основная проблема - это то, что у клиентов нет мотивации покупать российское ПО, ОС и российский офисный пакет. Если легализовать пиратство на год, два, три, то это ставит крест на всем импортозамещении.
Полностью интервью читайте в материале "Наталья Касперская: Утечки персональных данных невозможно расследовать в рамках административных дел" на RG.ru