ИБ-компании выражают обеспокоенность в связи с рисками, которые могут возникнуть после принятия законопроекта об уголовной ответственности за работу с утечками персональных данных.
В представленном проекте закона отсутствуют исключения для участников рынка, занимающихся исследованием утечек конфиденциальной информации в профессиональных целях. Это создаёт риски уголовного преследования для специалистов.
Законопроект, разработанный ко второму чтению в Государственной думе, направлен на введение уголовной ответственности за оборот похищенной конфиденциальной информации. Это напрямую касается работы профильных специалистов по информационной безопасности.
Более 15 российских ИБ-компаний направили письмо в два профильных думских комитета, указав, что разрабатываемый проект закона не предусматривает исключений для компаний, решающих легитимные задачи в сфере защиты сетевой инфраструктуры от киберпреступных атак и занимающихся расследованием утечек информации.
Законопроект предполагает поправки в Уголовный кодекс Российской Федерации, устанавливающие ответственность за неправомерный сбор, хранение и оборот личной информации граждан. Уголовно-наказуемым деянием является создание сайтов, программ и IT-систем для неправомерного хранения и передачи информации, содержащей персональные данные, полученные незаконно. За подобное деяние предусмотрено лишение свободы на срок до 5 лет со штрафом до 700 000 рублей.
Участники рынка убеждены, что ужесточение ответственности за несанкционированный оборот украденных персональных данных снизит количество ресурсов, осуществляющих такой оборот. Однако это не гарантирует полного исчезновения злоумышленников, так как они не лишатся доступа к инструментам для проникновения в сетевые инфраструктуры организаций.
Авторы письма предлагают закрепить условия, исключающие уголовную ответственность для компаний, занимающихся расследованием утечек конфиденциальной информации.
Дмитрий Борощук, руководитель агентства BeholderIsHere Consulting, считает, что поиск утечек данных и их мониторинг в сети интернет являются единственной возможностью для смягчения последствий и противодействия злоумышленникам. В связи с этим необходимо провести аналогию с регулированием деятельности частных детективов.
Сергей Петренко, директор по работе с государственными структурами UserGate, отмечает, что ИТ-инфраструктура российских компаний постоянно подвергается кибератакам. Многие средние и небольшие компании не могут содержать большой штат специалистов ИБ и приобрести необходимые средства защиты. Поэтому востребованы профессиональные сервисы ИБ, когда профильные ИБ-компании берут на себя часть работы по обеспечению киберустойчивости клиентов.
Законодательные поправки должны чётко прописывать полномочия и ответственность ИБ-компаний, оказывающих услуги по защите своих заказчиков от киберугроз. В противном случае часть услуг может выйти за пределы правового поля, создавая новые риски и не способствуя повышению уровня кибербезопасности страны.