Оставьте заявку
Наш эксперт свяжется с вами в ближайшее время
Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой конфиденциальности
Борьба с утечками данных переходит в юридическое русло: к чему готовиться операторам ПДн
По данным Роскомнадзор (далее — РКН) с начала 2022 года вследствие 60 крупных утечек в сети оказалось более 230 млн. записей с личной информацией граждан России, включающей адреса, телефоны, медицинские данные и характеристики потребления. Об этом сообщает ТАСС.
В РКН считают, что необходимо развивать эту тему уже в юридической плоскости: «Необходима криминализация действий и тех, кто крадет, и тех, кто продает персональные данные. Действий тех, чей умысел очевиден. Незаконными являются действия тех людей, которые используют украденные данные, не имея подтверждения их законного происхождения и права использования. Необходима соответствующая ответственность за подобные деяния», — приводят цитату регулятора в ТАСС.
В РКН считают, что необходимо развивать эту тему уже в юридической плоскости: «Необходима криминализация действий и тех, кто крадет, и тех, кто продает персональные данные. Действий тех, чей умысел очевиден. Незаконными являются действия тех людей, которые используют украденные данные, не имея подтверждения их законного происхождения и права использования. Необходима соответствующая ответственность за подобные деяния», — приводят цитату регулятора в ТАСС.
Комментарий эксперта
«Мы ранее уже говорили, что текущая обстановка в сфере ИБ неизбежно приведет к росту числа утечек данных и, как следствие, к усилению регуляторного давления именно в области практической кибербезопасности, к которой можно отнести защиту персональных данных, как одного из основных активов организации и предмета интереса существенного числа акторов. Ситуация с утечками постепенно приходит к своему логичному развитию: фактически достоянием мошенников уже стала информация о подавляющем числе граждан нашей страны и сейчас создаются не просто базы данных о них, а базы данных, хранящие на каждого из них очень подробные «цифровые профили» или уже «цифровые двойники», если хотите. С учетом того, что информация этого рода сохраняет свою актуальность очень долго, и может быть использована через десятки лет, нужно думать о том, как обезопасить граждан от этого.
Ну и конечно, нужно решать вопрос пресечения дальнейших утечек данных чтобы мошеннические базы данных не пополнялись и не актуализировались такими темпами.
В этой связи уместно поднять вопрос квалификации, с точки зрения уголовного права, утечек данных и попыток их распространения, как преступлений. С учетом несовершенства статей 28 главы УК РФ, крайне затрудняющего их практическое применение в случае утечки данных без явных последствий в форме нанесенного ущерба, возникает задача оценки баз данных, как нематериальных активов и использования иных статей УК, а также формирования доказательной базы на случай реализации утечки данных. На данный момент инструментов, рычагов влияния на акторов мало, все они довольно слабые и зачастую не позволяют оформить инцидент, как преступление, привлечь виновного к ответственности. Актуальная регуляторная повестка, как и готовящийся законопроект, усиливающий штрафные санкции, применяемые к организациям, говорят об усилении именно прикладной части закона о персональных данных.
На данном этапе развития событий правильным первым шагом со стороны организаций было бы провести оценку баз данных, как нематериальных активов. Это не только позволит сформировать представление о потенциальных рисках и необходимых защитных мерах, но и повысит капитализацию организации: пока мало кто обладает пониманием реальной стоимости данных, а следовательно, и пониманием практической ценности тех защитных мер, которые применяет к ним организация. На фоне изменений в 152-ФЗ (266-ФЗ) и выходе юридической стороны вопроса о защите ПДн от возможных утечек на первый план, к этой работе помимо профильного подразделения следует привлекать также отделы риск менеджмента, бухгалтерию и юридическую службу. Это позволит определить реальную значимость тех или иных защитных и контрольных мер, которые уже применяются в орагнизации или должны в ней применяться. Это отнюдь не новый взгляд на ИБ: объем требований регулятора изначально формируется на основе значимости обрабатываемых организациями данных, просто теперь это будет иметь очень конкретное финансовое выражение и для самих организаций. В контексте развития этой ситуации вполне резонно также ожидать усиление направления страхования киберрисков, которое в нашей стране пока остается недооцененным.»
«Мы ранее уже говорили, что текущая обстановка в сфере ИБ неизбежно приведет к росту числа утечек данных и, как следствие, к усилению регуляторного давления именно в области практической кибербезопасности, к которой можно отнести защиту персональных данных, как одного из основных активов организации и предмета интереса существенного числа акторов. Ситуация с утечками постепенно приходит к своему логичному развитию: фактически достоянием мошенников уже стала информация о подавляющем числе граждан нашей страны и сейчас создаются не просто базы данных о них, а базы данных, хранящие на каждого из них очень подробные «цифровые профили» или уже «цифровые двойники», если хотите. С учетом того, что информация этого рода сохраняет свою актуальность очень долго, и может быть использована через десятки лет, нужно думать о том, как обезопасить граждан от этого.
Ну и конечно, нужно решать вопрос пресечения дальнейших утечек данных чтобы мошеннические базы данных не пополнялись и не актуализировались такими темпами.
В этой связи уместно поднять вопрос квалификации, с точки зрения уголовного права, утечек данных и попыток их распространения, как преступлений. С учетом несовершенства статей 28 главы УК РФ, крайне затрудняющего их практическое применение в случае утечки данных без явных последствий в форме нанесенного ущерба, возникает задача оценки баз данных, как нематериальных активов и использования иных статей УК, а также формирования доказательной базы на случай реализации утечки данных. На данный момент инструментов, рычагов влияния на акторов мало, все они довольно слабые и зачастую не позволяют оформить инцидент, как преступление, привлечь виновного к ответственности. Актуальная регуляторная повестка, как и готовящийся законопроект, усиливающий штрафные санкции, применяемые к организациям, говорят об усилении именно прикладной части закона о персональных данных.
На данном этапе развития событий правильным первым шагом со стороны организаций было бы провести оценку баз данных, как нематериальных активов. Это не только позволит сформировать представление о потенциальных рисках и необходимых защитных мерах, но и повысит капитализацию организации: пока мало кто обладает пониманием реальной стоимости данных, а следовательно, и пониманием практической ценности тех защитных мер, которые применяет к ним организация. На фоне изменений в 152-ФЗ (266-ФЗ) и выходе юридической стороны вопроса о защите ПДн от возможных утечек на первый план, к этой работе помимо профильного подразделения следует привлекать также отделы риск менеджмента, бухгалтерию и юридическую службу. Это позволит определить реальную значимость тех или иных защитных и контрольных мер, которые уже применяются в орагнизации или должны в ней применяться. Это отнюдь не новый взгляд на ИБ: объем требований регулятора изначально формируется на основе значимости обрабатываемых организациями данных, просто теперь это будет иметь очень конкретное финансовое выражение и для самих организаций. В контексте развития этой ситуации вполне резонно также ожидать усиление направления страхования киберрисков, которое в нашей стране пока остается недооцененным.»
Другие материалы