В Госдуме обещали обсудить с бизнесом и скорректировать поправки к закону «О персональных данных» таким образом, чтобы операторы персональных данных не несли затраты на подключение к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Ранее комитет внес в Госдуму поправки, предусматривающие непрерывное и затратное для бизнеса подключение к ГосСОПКА. Глава комитета по информполитике Александр Хинштейн предложил передавать все необходимые сведения от операторов персональных данных в ГосСОПКА через электронную почту. Такой вариант не требует дополнительных затрат от бизнеса, говорят эксперты.
Фото: Юрий Мартьянов, Коммерсантъ
Подключение к ГосСОПКА не потребует от операторов персональных данных затрат, пояснил председатель комитета Госдумы по информполитике Александр Хинштейн на расширенном заседании комитета, посвященном поправкам к закону «О персональных данных», которое состоялось 19 мая. «Об установке специализированного и затратного оборудования операторами персональных данных речь не идет. Постоянное взаимодействие с ГосСОПКА может осуществляться с помощью электронной почты или через их собственную систему»,— пояснил господин Хинштейн. По его словам, никаких технологических и экономических сложностей тут нет.
ГосСОПКА была создана в 2018 году для предотвращения и устранения последствий компьютерных атак на критическую информационную инфраструктуру РФ. Система практически является агрегатором информации о зафиксированных инцидентах и способах противодействия им. Оператором ГосСОПКА является Национальный координационный центр по компьютерным инцидентам, созданный Федеральной службой безопасности (ФСБ).
Требование непрерывного подключения к ГосСОПКА всех операторов персональных данных указано в поправках к закону «О персональных данных», который был внесен на рассмотрение Госдумы 6 апреля. Сейчас это обязательно только для объектов критической информационной инфраструктуры (банки, операторы связи, организации ТЭКа и так далее). Кроме этого документ вводит для операторов персональных данных обязанность информировать органы власти об утечках личной информации граждан и сообщать Роскомнадзору о трансграничной передаче персональных данных. Непрерывное подключение к ГосСОПКА потребует от операторов персональных данных существенных затрат на строительство защищенных каналов связи со средствами криптографической защиты (см. «Ъ» от 11 мая).
В Счетной палате считают, что в случае вступления в силу требования по непрерывному подключению операторов персональных данных к ГосСОПКА пострадает не только бизнес.
«Это приведет к существенному возрастанию нагрузки на инфраструктуру системы и, соответственно, к увеличению расходов на ее развитие и эксплуатацию»,— сказали «Ъ» в Счетной палате. Это может повлечь необходимость выделения ФСБ дополнительных средств из бюджета, добавили в пресс-службе Счетной палаты.
Александр Хинштейн пообещал, что ко второму чтению законопроекта будет проведено обсуждение этого вопроса с отраслью. «Если потребуется скорректировать формулировку, для того чтобы снять недопонимание, мы эту работу готовы провести»,— заверил он.
Глава Института исследований интернета Карен Казарян отметил, что сейчас в подзаконных актах к закону «О безопасности критической информационной инфраструктуры Российской Федерации» есть различные варианты подключения к ГосСОПКА. В том числе с помощью электронной почты через защищенный, но не сертифицированный канал связи. Он пояснил что такой вариант не потребует от операторов персональных данных затрат. Однако, чтобы это реализовать, необходимо убрать из текста законопроекта требование непрерывного подключения к ГосСОПКА, заключил он.
Отправлять обычной почтой или по телефону информацию об инцидентах в ГосСОПКА можно и сейчас. Риски утечки при такой передаче данных есть, но незначительные, пояснил независимый эксперт по информационной безопасности Алексей Лукацкий. Он предположил, что со значительным увеличением числа организаций, обязанных уведомлять ГосСОПКА об инцидентах, ФСБ может упростить свои регламенты получения информации. Это может потребовать от системы административных затрат — принимать почту и вносить все в систему будут сотрудники, отметил эксперт. Хотя есть еще один вариант — ФСБ может создать электронную форму уведомления об утечках. Это сейчас обсуждается, заключил Алексей Лукацкий.