Герман Клименко: Оборотные штрафы за утечку персональных данных не решат проблему
Для начала нужен регламент кибербезопасности на предприятиях
После утечки клиентской базы «Яндекс Еды», Delivery Club и лаборатории «Гемотест» в Минцифры ускорили разработку законопроекта, предусматривающего введение оборотных штрафов в 1 процент в случае утечки данных пользователей и 3 процента — за сокрытие компанией инцидента. По мнению законодателей и экспертов, мера жесткая, но необходимая. Однако применять ее следует лишь при условии объективного разбирательства и установления конкретного виновного в пропаже приватных сведений. Об этом в интервью «Парламентской газете» заявил председатель совета Фонда развития цифровой экономики Герман Клименко.
- Герман Сергеевич, сегодня активно обсуждают повышение ответственности IT-компаний за сохранность персональных данных, вплоть до введения крупных оборотных штрафов. На ваш взгляд, мера поможет выстроить оборонные редуты вокруг баз данных?
- Вопрос не простой. У нас почему-то борются с богатыми компаниями, но ведь утечка данных может случиться и в небольшой организации, для которой оборотный штраф может стать фатальным в смысле ее дальнейшей экономической деятельности. Оборотный штраф — это крайняя мера из всех, что существуют. Мы, конечно, всегда любим использовать опыт Запада, но мне кажется, что к этой истории мы пока не готовы.
- Но данные ведь пропадают, как тут управиться без репрессий?
- Сейчас, если не ошибаюсь, штраф за утерю персональных данных составляет 60 тысяч рублей, поэтому имеет смысл повышать постепенно этот критерий и уже потом переходить к оборотным штрафам. Мне кажется, это будет более разумно и справедливо.
Есть наблюдения, которые позволяют говорить, что введение страшных штрафов само по себе не позволит одномоментно сформировать ответственную политику компании по отношению к сохранности персональных данных. Это дело не одного дня. Требуется время, в том числе на отработку технологий. Поэтому взять и надеть на всех разом этот поводок оборотных штрафов не совсем правильно. Здесь нужно действовать аккуратнее.
- Если оборотные штрафы пока не годятся, то, может, стоит персональную ответственность за пропажу информации повысить?
- Вопрос поставлен правильно. Ведь прежде чем вводить крайние санкции в отношении IT-компании, следует определить причину, отыскать виновного в утечке данных. А если это не сотрудник, а хакеры, или информация исчезла в результате Ddos-атаки, или вообще речь идет о происках наших врагов? Чтобы определить, что утечка случилась по вине конкретной компании, должны быть точно сформулированы претензии, в чем именно виновата эта компания. Хранили данные не на тех серверах или не выполнили протоколы, не обучили людей?
Читайте также:
• Что делать, если персональные данные утекли в Сеть
- Но ведь данные-то пропадают сейчас. А разбирательство займет много времени…
- Я, как представитель индустрии, могу сказать, что никто не хочет, чтобы данные клиентов попали в чужие руки. А расследование происшествий можно ускорить. Например, если бы у нас был протокол сохранности персональных данных, который предусматривает их хранение на специально оборудованных хостингах, то такой документ предусматривал бы и ответственность хостеров. И если мы не исполняем этот протокол, то нас можно наказывать. Нам же не приходит в голову штрафовать автоконцерны за то, что люди погибают на дорогах каждый день.
- Но ведь бывает, люди гибнут из-за брака в машинах. То есть в любом случае крайнего находят. А если пропали персональные данные, кто крайний?
- В Уголовном кодексе есть статья за хищение, но отсутствует понятие «хищение цифровых активов». С другой стороны, есть закон о цифровых активах. Мы иногда сами придумываем дополнительные сущности, в которых нет нужды. У нас уже действует закон, благодаря которому совершенно спокойно, без всяких дополнительных придумок сажают хакеров. Но если мы хотим усилить ответственность, то логично сначала определить, где грань вины. Потому что потом будет сложно объективно разобраться внутри, что же произошло. А данные и прежде терялись, и будут теряться: сотрудник увольняется, скопировал данные и продал их.
- Вот и пусть компании следят за своими сотрудниками. Не уследили — значит, виноваты.
- Так все и думают. Поэтому можно сказать, что сегодня мы эмоционально готовы, условно говоря, рубить головы всем подозреваемым, и даже готовы принять закон, но данные-то все равно будут пропадать. А цель закона, чтобы объемы этих краж сократились. Здесь история про то, что не понятно — за что наказывать? Если наказывать за все, то это невозможно исполнить просто физически. Поэтому нужно серьезно над этим всем думать.
- А может, пусть сами компании думают над своей кибербезопасностью? Обязать их строго или, напротив, простимулировать?
- Как это ни парадоксально, но должны быть какие-то регламенты, которые освобождают компанию от ответственности. Примерно как с пожарной безопасностью. У меня в офис раз в год приходит пожарный и проверяет, чтобы имелись огнетушители и люди были обучены ими пользоваться, чтобы был назначен ответственный. Так и здесь: в штате компании должен быть системный администратор, прошедший специальный курс. Если компания, работающая с персональными данными, выполняет досконально определенный набор действий в сфере безопасности, то она является добросовестной по этой части. И если вы все сделали, а вам прилетает оборотный штраф — а это жесточайшее наказание для компании, — то важно понять — за что? Скажем, за то, что сотрудник украл данные. Но ведь наказывать-то собираются всю компанию.
- То есть речь идет о справедливости. Важно при назначении любой разновидности штрафа соблюдать объективность?
- Должна быть формализованная и понятная всем история — при каком случае наступает ответственность. Например, компания работает с персональными данными миллиона человек. Для этого она должна, условно говоря, работать на серверах только с процессором «Эльбрус» и на отечественной операционной системе. И если вы выполнили все установки, а персональные данные по каким-то иным причинам пропали, ответственность с вас снимается. Но если вы, скажем, вместо «Эльбрусов» работали на процессорах компании Intel, то ваш проступок очевиден.