Топ-менеджер без права на ошибку
Нужно ли ужесточать наказание управленцев банков за утечки
Топ-менеджеров финансовых организаций предложили дисквалифицировать за утечки информации сразу на 10 лет. Законопроект разработали при участии ЦБ, теперь его должны согласовать в различных ведомствах, пишут «Известия». Документ усиливает ответственность зампредов банков по информационной безопасности, это относительно новая должность, введенная президентским указом в 2022 году. Таких топ-менеджеров планируется отстранять от работы на 10 лет, если организация несколько раз в течение года нарушит требования к защите информации. Касается это не только банков, но и пенсионных фондов, МФО и страховых компаний.
Фото: Евгения Яблонская, Коммерсантъ
Фото: Евгения Яблонская, Коммерсантъ
И такое ужесточение может пойти на пользу, считает основатель компании «Б-152» Максим Лагутин: «Любое повышение ответственности работает тогда, когда оно эффективно и соразмерно. Это большой плюс вообще для рынка в части персональных данных. Если учесть, что топ-менеджеры не своими руками создают защиту данных от утечек, максимум, что они могут сделать, это перераспределить ответственность внутри организации, выделить бюджеты и как-то пристально смотреть — все.
Ответственность станет более персональной. Не знаю, как она сработает. В свое время было множество статей о наказании компаний и должностных лиц, но они не всегда были эффективными. За локализацию персональных данных в 99% случаев штрафуют не российские организации, а западные. Вот если это наказание не будет работать, то грош ему цена».
Поиск зампредов по кибербезопасности оказался для банков непростой задачей, как писал “Ъ FM”, небольшие организации предпочли повысить своих специалистов до топ-менеджеров, чтобы выполнить указ. Это оказалось «дешевле и проще», чем профессиональная переподготовка. Возможное введение дисквалификации просто смоет таких специлистов с рынка, уверена зампред правления Ланта-банка Ирина Рысь: «Персональная ответственность и профессионализм топ-менеджера — это очень важно. Но отстранять на 10 лет за возможные утечки, которые могли быть связаны совершенно с другими действиями или злоумышленниками, наверное, это слишком жестко.
Мы можем столкнуться с тем, что фактически не будет желающих устроиться на управляющую должность, потому что один инцидент может привести к тому, что карьера человека закончится, а через 10 лет он, например, уже достигнет пенсионного возраста.
По сути, у топ-менеджеров банков, как у саперов, будет лишь одна ошибка. Либо запрос по заработной плате станет совершенно непомерным».
Дисквалификацию на 10 лет едва ли можно назвать соразмерным наказанием за утечки, считает партнер компании Comply Сергей Сайганов: «Ответственность руководителей, предусмотренная что в КоАП, что в УК, достаточно обтекаемая.
Пока что кейсов, когда за утечки привлекли конкретно каких-то топ-менеджеров, крайне мало. Чаще ответственность ложится на исполнителей или генерального директора, а директор по информационной безопасности обычно остается только с каким-нибудь дисциплинарным взысканием, максимум увольнением.
Поэтому усилить ответственность здесь, наверное, можно и нужно, но не такими драконовскими мерами. Все-таки они должны быть соразмерны. Может быть, это даже дисквалификация, но не на 10 лет. Хотя бы, как в рамках КоАП, на три года».
Одна из последних крупных утечек персональных данных произошла осенью 2019-го, тогда на черном рынке оказалась база заемщиков Сбербанка на 60 млн строк. В самой организации заявили, что это не поставило под угрозу деньги клиентов. Тогда же Роскомнадзор подтвердил утечку списка держателей карт МТС-банка. Там предположили, что она произошла на стороне — у ритейлера либо поставщика цифровых сервисов.
С нами все ясно — Telegram-канал "Ъ FM".