Закон стягивает сети

Российское законодательство в области защиты данных ужесточается. На этом фоне ритейл и финансовый сектор сталкиваются с новыми вызовами: это оборотные штрафы за утечки и новые требования к критической информационной инфраструктуре. Как бизнесу минимизировать риски и выстроить комплексную систему кибербезопасности? Эксперты «Лаборатории Касперского» рассказали о том, что поможет компаниям соответствовать требованиям и защитить свои данные.

Оборотные штрафы: новая реальность для банков и ритейлеров

С 30 мая вступил в силу федеральный закон от 30 ноября 2024 года №420-ФЗ, которым внесены изменения, направленные на усиление защиты личной информации россиян. С этой даты повышаются штрафы за нарушение порядка обработки персональных данных. Теперь для компаний, допустивших повторную утечку любых сведений, будут действовать оборотные штрафы — до 3% выручки, но не менее 25 млн и не более 500 млн руб.

До обновления законодательства максимальный штраф за утечку персональных данных мог составлять всего 60 тыс. руб., напоминает эксперт Kaspersky ICS CERT Владимир Дащенко: «Теперь же получается, что одна маленькая утечка может стоить больших денег. В России немало компаний, которые работают с огромными массивами персональных данных, это в первую очередь банковский процессинг, e-com и ритейл. У них большая клиентская база и огромный оборот».

При этом, как отмечает Владимир Дащенко, еще до появления оборотных штрафов крупные российские компании активно совершенствовали свои системы безопасности. Особенно это касается участников рынка, которые непосредственно сталкивались с последствиями утечек. Среди таких примеров — один из крупнейших маркетплейсов, который столкнулся с масштабным сбоем в работе после кибератаки в марте 2022 года. «Ущерб был серьезным, но это дало компании толчок к тому, чтобы глобально перестроить процессы внутри. Сейчас там очень хорошая команда по безопасности, внедрен полный цикл безопасной внутренней разработки, проводятся регулярные тестирования, хорошо стал работать антифрод»,— говорит эксперт.

Как напоминает Владимир Дащенко, помимо штрафов в случае утечки компании так или иначе несут дополнительные затраты. Обычно внедряется система предотвращения потери данных, проводится работа с сотрудниками. В зависимости от вида утечки это могут быть затраты на компьютерную криминалистику и аудит, которые помогают понять, были ли скомпрометированы информационные системы с использованием уязвимостей, а также то, почему не работает политика по управлению уязвимостями.

Закон о КИИ и переход на российское ПО

Среди других обновлений в законодательстве, которое сейчас требует «глубокого погружения и прощупывания слабых мест» со стороны бизнеса,— ряд законов о критической информационной инфраструктуре (КИИ), говорит руководитель группы по сопровождению ключевых корпоративных проектов «Лаборатории Касперского» Дмитрий Митюшин. Законы касаются критической информационной инфраструктуры и предполагают уголовное наказание для ответственных за безопасность. Законодательство направлено на повышение устойчивости и безопасности КИИ. Оно минимизирует риски кибератак и обеспечивает стабильность государственной инфраструктуры, в том числе энергетики, транспорта и здравоохранения.

Изменения, которые предусмотрены ФЗ №58-ФЗ «О внесении изменений в Федеральный закон “О безопасности критической информационной инфраструктуры РФ”», должны вступить в силу с 1 сентября 2025 года. Изменения внесены в ФЗ от 26 июля 2017 года №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Среди новых обязанностей компаний — информировать ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) не только о компьютерных инцидентах, но и о компьютерных атаках.

Кроме того, на значимых объектах критической информационной инфраструктуры теперь обязательно нужно использовать программное обеспечение из реестра российского ПО. Это предполагает указ президента РФ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»: субъектам КИИ нельзя использовать средства защиты информации из недружественных стран с 1 января 2025 года.

Импортозамещение в области систем информационной безопасности открывает перспективы для укрепления технологической независимости, несмотря на сложность процесса, отметил Владимир Дащенко. «Это не просто замещение одного продукта на другой. Обычно это комплексные проекты, где все завязано друг на друге: операционные системы, базы данных, виртуализация — все взаимосвязано, и последовательно, по кирпичику заменить что-то одно на другое очень сложно. Кроме того, это в первую очередь преодоление ментального барьера: зачем мне нужно тратить кучу усилий, чтобы что-то менять, оно же работает? Но усилия будут оправданны: это большая инвестиция в будущее»,— подчеркнул он.

Усиленная система безопасности данных: с чего начать

Крупные компании в области ритейла и в финансовом секторе, как правило, «зрелые и подкованные» в контексте регулирования и построения эффективной стратегии развития безопасности, говорит Дмитрий Митюшин: «Они приходят к нам за конкретными решениями». В то же время в этих сферах работает много компаний, которые раньше не сталкивались с регуляторными мерами в таком количестве и не знают систему регулирования досконально, отмечает эксперт: «Сейчас они не знают, с чего начать».

При этом, по словам Дмитрия Митюшина, нужно отличать так называемую бумажную безопасность от действительно работающей системы. «Формулировки о том, что нужно сделать, чтобы соответствовать требованиям, очень широкие. Чтобы их закрыть, можно купить самые дешевые продукты, у которых есть сертификаты соответствия. Они будут существенно отставать по функциональным возможностям и качеству от других средств защиты, имеющих аналогичные сертификаты соответствия. Формально с ними требования будут соблюдены. Но от реальных рисков компания защищена не будет. Работа в соответствии с требованиями законодательства и работа с реальными рисками — это два разных мира, но в стратегии компании они должны пересекаться. Нужно грамотно учитывать и то, и другое»,— говорит Дмитрий Митюшин.

Начало работы по усовершенствованию системы безопасности всегда начинается с аудита, говорит Владимир Дащенко. «Это можно сравнить с походом к врачу. Есть старый анекдот: “Доктор, не могу, все болит. Сюда пальцем ткну — больно, сюда пальцем ткну — тоже больно”. Доктор: “Да у вас палец сломан”. Базовый, нулевой шаг в обеспечении информационной безопасности звучит так: знайте свои активы, знайте то, с чем вы работаете. Любая компания может это делать своими силами: собрать информацию о том, что сейчас есть, в каком состоянии, какие процессы, как выстроены обновления, парольные политики и так далее. Это даст базовый срез, который покажет, в каком состоянии находится компания. И уже после этого можно будет принимать решения о том, что нужно делать»,— говорит Владимир Дащенко.

Регуляторы часто идут навстречу компаниям, которые озабочены вопросом безопасности данных, также отмечает Владимир Дащенко: «На круглых столах представители регуляторов говорят о том, что, если у компании есть четкий план того, как улучшить систему безопасности, если компания проявляет инициативу, им идут навстречу и помогают двигаться в этом направлении. И наоборот: если видно, что компания этим вопросом вообще не собирается заниматься, включаются уже именно регуляторные функции. Поэтому главное — это понимать, где находится компания, и желание двигаться вперед».

Как все это учесть: поможет регуляторный хаб

Разобраться с текущим ландшафтом нормативных актов и быстро отслеживать нововведения в законодательстве можно с помощью специальной базы данных — регуляторного хаба «Лаборатории Касперского». Это бесплатная платформа, запущенная в 2023 году. Она была создана специально для того, чтобы помочь бизнесу сориентироваться в законодательстве в сфере ИБ, понять текущие требования и рекомендации для конкретной отрасли.

Хаб включает основные нормативно-правовые акты в области ИБ, действующие в России, и постоянно обновляется. «Это ресурс, где, по сути, мы собрали все, что необходимо знать о законах по ИБ и где можно быстро получить набор мер, который будет релевантен той или иной компании. Дальше уже зависит от самой компании, насколько она готова к внедрению этих решений и насколько это ей подходит»,— говорит Дмитрий Митюшин.

Регуляторный хаб дает возможность автоматически подобрать нормативные документы в зависимости от отрасли, показывает взаимосвязь между документами и подбирает инструменты для оценки рисков и мониторинга соответствия. Платформа помогает автоматизировать процессы compliance, минимизировать риски штрафов за утечки данных. «Мы рекомендуем пользоваться регуляторным хабом в качестве базы знаний для того, чтобы быть начеку: законодательная база в нем постоянно обновляется, что помогает быть в курсе актуальных изменений и сильно упрощает работу. Это палочка-выручалочка для безопасника на местах»,— добавил Владимир Дащенко.

18+

АО "ЛАБОРАТОРИЯ КАСПЕРСКОГО"

Реклама