Штрафы за утечки персональных данных следует распространить на поставщиков решений в области информационной безопасности, заявил директор департамента цифрового развития и экономики данных Минэкономразвития Владимир Волошин на круглом столе в Госдуме, сообщает РБК.
Как пояснил Волошин, проведённый министерством анализ показал, что, если бы рассматриваемый сейчас Госдумой законопроект об оборотных штрафах за утечки данных был принят год назад, его реализация могла бы привести к тому, что четыре из пяти компаний малого и среднего бизнеса, попавших под подобные штрафы, оказались бы на грани банкротства.
В то же время представители разработчиков ИБ-продуктов уверены в наличии всех необходимых решений для защиты данных. Поэтому если утечка произошла и специализированное программное обеспечение не смогло обеспечить должный уровень защиты, наказывать нужно разработчиков такого ПО, считают в Минэкономразвития.
С этим предложением согласился замдиректора Федеральной службы по техническому и экспортному контролю (ФСТЭК) Виталий Лютиков. По его словам, ответственность за утечки должны нести не только операторы персональных данных. Если причиной утечки стала уязвимость в программном обеспечении, то ответственность за это нужно разделять с разработчиком этого софта, а если интегратор или центр мониторинга информационной безопасности (Security Operations Center, SOC) не отреагировали на события в части безопасности должным образом, то отвечать должны и они.
Напомним, пакет законопроектов об оборотных штрафах за утечку ПД внесён в Госдуму в конце 2023 года. Минимальный штраф для компаний, допустивших утечку, должен составить 15 миллионов рублей, максимальный — 500 миллионов рублей. Документ прошёл первое чтение в январе 2024.
В апреле правительство предложило смягчить законопроект. «Проектируемые размеры административных штрафов нуждаются в уточнении на предмет соразмерности и возможности исполнения такого наказания лицами, привлечёнными к административной ответственности», – говорилось в отзыве правительства.
Если РБК не искажает сказанного представителем Минэкономразвития, дело плохо. Поясним на умозрительном примере: ограблен банк. Регулятор считает, что ответственность перед вкладчиками несёт не кредитное учреждение, а поставщик вскрытых сейфов, т.к. если карать банки за ненадлежащую безопасность помещений с чужими деньгами, банкиры станут разоряться. Вопрос о том, захочет ли кто-то после этого продавать банкам сейфы, регулятора почему-то не заботит.
Что касается ответственности поставщиков ИБ-решений за уязвимости. Предложение ФСТЭК не подлежало бы критике, если бы в области разработки программного обеспечения было что-то вроде сопромата. Инженер-строитель, неверно рассчитавший конструкцию, может быть привлечён к ответственности, если у здания обвалится крыша, поскольку есть научно обоснованная методика расчёта и экспертиза проектов. В программировании не так. Это ремесло столь же далеко от науки, как каменный топор был далёк от физики твёрдого тела. Ошибки в коде программных продуктов пока что неизбежны, и не разработчики в этом виноваты.
См. также:
- Личные данные всех россиян уже утекли – глава «Ростелекома» >>>
- Об уголовной ответственности за утечки ПД >>>