СДЭК подтвердил очередную утечку данных. Власти тем временем продолжают обсуждать оборотные штрафы за такие нарушения. В рабочей группе при Минцифры предложили оценивать объемы утечки, пишет РБК, и назначать взыскания только за крупные нарушения. Речь о ситуациях, когда пострадали больше 10 тыс. человек. В других случаях компания может получить фиксированный штраф в несколько миллионов рублей.
Фото: Игорь Иванко, Коммерсантъ
Фото: Игорь Иванко, Коммерсантъ
Об ужесточении наказаний за утечки в России заговорили весной, когда в сеть попали данные клиентов «Яндекс.Еды», СДЭК и Delivery Club. Минцифры готовит законопроект, согласно которому нарушители заплатят 1% от годовой выручки. Представить документ обещают в сентябре. При этом бизнес просит смягчить требования.
Но судить об утечке по количеству данных не совсем корректно, считает начальник отдела информационной безопасности компании SearchInform Алексей Дрозд: «Просто опираться на объем — не очень хороший вариант. Не хватает каких-то дополнительных характеристик, надо оценивать не сколько утекло, а что именно.
Одно дело 10 тыс. имейлов, другое дело — 10 тыс. номеров паспортов с домашними адресами, пин-кодами и тому подобным. Формально по объему одно и то же, а по степени разрушительности разное.
На Западе уже давно в первую очередь выясняют, каким образом произошла утечка — по причине нарушения требований информационной безопасности или нет, пыталась ли компания изначально защищать данные.
Много лет встречается мнение, что нам дешевле заплатить до 100 тыс. руб. штрафа, чем что-либо внедрять. Это месячная зарплата не самого хорошего специалиста по ИБ. А в качестве альтернативы предлагает приобрести ПО, назначить специалиста и за все это платить. Естественно, одно с другим не сходится. Самый справедливый вариант — оценивать, пыталась ли компания защищать личную информацию или нет».
Новая утечка данных клиентов СДЭК содержит около 100 тыс. строк. В базу попали имена и фамилии, логины и пароли, адреса электронной почты и телефоны. В Минцифры обсуждается несколько вариантов наказания за утечки данных. Там, например, предлагали назначать фиксированный штраф за первое нарушение, также обещали учитывать степень вины компании и оценивать усилия бизнеса в сфере безопасности.
Но смогут ли в этих деталях разобраться суды? Юрист, партнер компании «Томашевская и партнеры» Роман Янковский отмечает, что для таких дел нужна специальная экспертиза, а ее часто недостает мировым судьям: «Административными делами, связанными с ведомством Роскомнадзора, об утечках, блокировках информации, предупреждениях и штрафах для социальных сетей обычно занимаются либо мировые, либо районные суды. Это достаточно низкий уровень квалификации.
Кажется, что в таких сложных делах должны все-таки разбираться суды, постоянно рассматривающие подобные дела, а не мировые, у которых сегодня назначено дело по поводу какой-то драки, а завтра — по блокировке Facebook.
В целом у нас есть большая проблема с тем, что наши суды слабо разбираются в технических вопросах.
Не зря же, например, был сформирован отдельный суд по интеллектуальным правам, тоже было очень много вопросов, в том числе технических.
Судебный участок, который находится на территории московского Роскомнадзора, просто взрывается от таких дел. Судья, по сути, штампует свои решения для ведомства. Если мы приходим к оборотным штрафам, возникают вопросы: как они будут назначаться? Как будет проходить расследование? С Роскомнадзором тоже возникнуть какие-то проблемы».
Сейчас максимальное наказание за утечку данных — штраф полмиллиона рублей. При этом компаниям, которые допустили нарушения в этом году, суд назначил от 60 до 80 тыс. руб.
Новости в вашем ритме — Telegram-канал "Ъ FM".