Инициатива Минцифры налагать на компании оборотные штрафы за утечку данных обойдется малому и среднему бизнесу в 400 млрд руб. ежегодно, подсчитали в Институте развития предпринимательства и экономики. Организация просит министерство подключить к обсуждению законопроекта не только крупнейшие IT-компании, но и профильные ассоциации. Вступление законопроекта в силу может также создать риски корпоративного шантажа, допускают эксперты: конкуренты будут угрожать компаниям опубликовать данные об их утечках, чтобы привлечь внимание регулятора.
Фото: Сергей Михеев, Коммерсантъ
Фото: Сергей Михеев, Коммерсантъ
“Ъ” ознакомился с письмом АНО «Институт развития предпринимательства и экономики» (ИРПЭ) в Минцифры от 8 августа. Из него следует, что инициатива министерства, предполагающая введение оборотных штрафов для компаний, допустивших утечку данных, будет ежегодно обходиться субъектам МСП в 400 млрд руб. Такие предприятия, в отличие от крупных компаний, способны инвестировать меньше средств в защиту информационных систем и данных клиентов «в том числе ввиду более низкой квалификации предпринимателей, ограниченных финансовых ресурсов для найма персонала и обслуживания информационных систем», отмечают в ИРПЭ.
Александр Хинштейн, председатель комитета Госдумы по информационной политике, 6 апреля (цитата «Интерфакс»):
«Мы понимаем, что существующие санкции за утечки персональных не адекватны последствиям и не стимулируют бизнес, особенно крупный, на то, чтобы предотвращать их».
Минцифры приступило к обсуждению законопроекта о введении оборотных штрафов для компаний, допустивших утечку данных, в конце мая. Новеллой предполагается ввести в КоАП поправки, согласно которым компания, допустившая утечку данных, может быть оштрафована на 1% от годового оборота. Размер штрафа вырастет до 3%, если компания попыталась скрыть от регулятора факт утечки (см. “Ъ” от 30 мая).
«Мы опасаемся, что после такого кулуарного обсуждения инициативы субъекты МСП окажутся перед лицом законопроекта, к которому не успеют направить отзывы»,— отмечает директор ИРПЭ Наталья Назарова.
По ее словам, организация в первую очередь настаивает, чтобы в обсуждении инициативы участвовал не только узкий круг представителей крупнейших IT-компаний, но также бизнес-омбудсмены, эксперты комитета Госдумы по малому и среднему предпринимательству и профильные бизнес-объединения. В Минцифры “Ъ” подтвердили получение письма, отметив, что инициатива «находится в проработке, в том числе с представителями бизнес-сообщества».
Законопроект вызывает опасения у представителей индустрии красоты, а также ресторанного рынка. Омбудсмен Ассоциации предпринимателей индустрии красоты Лялья Садыкова говорит, что с представителями рынка новелла не обсуждалась, а у предприятий сегмента на развитие систем безопасности «однозначно не хватит ни сил, ни ресурсов». Омбудсмен ресторанного рынка Москвы Сергей Миронов добавляет, что малым предприятиям будет сложно закупать и обслуживать дорогостоящие системы хранения данных: «Кроме того, в ресторанном бизнесе высокая текучка персонала, и увольняющиеся сотрудники могут продавать базы данных, наказать их за это практически невозможно».
Представители профильных ассоциаций видят риски не только в росте затрат на системы кибербезопасности, но и в возможностях шантажа: конкуренты могут угрожать жертвам взломом их систем и последующим распространением информации об утечках.
«Мы уверены, что путем шантажа будут пытаться решить свои вопросы как клиенты, оставившие данные, так и сотрудники, с которыми не сложились трудовые отношения»,— говорит госпожа Садыкова. Эти риски признают и представители рынка кибербезопасности. «Чем больше сумма штрафов, тем выше риски. Будет возможен шантаж со стороны хакеров, конкурентов и сотрудников»,— говорит руководитель направлений комплаенс и аудит УИБ Softline Илья Тихонов.
Впрочем, председатель совета директоров «Базальт СПО» Алексей Смирнов считает, что риски корпоративного шантажа преувеличены, поскольку это грозит уголовной ответственностью: «Мы должны исходить из тезиса, что персональные данные в любой компании должны быть защищены. Если предприятие последовательно уделяло внимание развитию систем безопасности, то оборотные штрафы его не испугают». Но тех, кто сейчас начнет строить свои системы защиты с нуля, признает он, действительно ждут серьезные затраты.