Минцифры ищет способ поддержать жертв утечки данных
Минцифры РФ и ведущие участники отечественного ИТ-рынка дискутируют над темой о создании фонда, из которого можно было бы выплачивать средства жертвам утечек данных в виде компенсаций. Сам фонд будет пополняться из сумм штрафов, наложенных на допустившие утечки компании. Об этом сообщают СМИ, ссылаясь на информацию из информированных источников.
Проект закона, который предусматривает штрафы в процентах от сумм годового оборота для компаний, допустивших утечки, проходит рассмотрение в Минцифры РФ с мая текущего года. Предложенные к внесению в Кодекс об административных правонарушениях поправки предусматривали наложение штрафа размере 1% при самом факте утечке и 3% при попытках компании скрыть эту утечку.
Против этого проекта выступили участники сегмента СМБ. Во-первых, комментируют они, с ними проект никто не обсуждал. И самое главное – дополнительные траты, которые лягут на плечи компаний СМБ, станут для многих из них обстоятельствами непреодолимо силы.
К примеру, по оценкам экспертов Института развития предпринимательства и экономики (ИРПЭ), предприятия малого и среднего бизнеса ожидают весьма серьезные проблемы – вступление такого закона в силу обернется для участников сегмента дополнительными ежегодными затратами на внедрение систем кибербезопасности, сумма которых оценивается в 400 млрд рублей. Эти оценки изложены в письме, которое руководство ИРПЭ направило в адрес Минцифры РФ в первой половине августа. К обсуждению этого законопроекта, которое ведется сегодня практически кулуарно, необходимо подключить бизнес-омбудсменов, экспертов комитета Госдумы по малому и среднему предпринимательству, профильные объединения.
У многих компаний СМБ, просто нет средств на приобретение и обслуживание систем хранения данных. Недобросовестных работников, которым легко получить доступ к данным клиентов, скопировать базы и потом продать их, очень трудно отследить из-за высокой текучести кадров. Такие предприятия могут стать жертвами шантажа и кибератак со стороны конкурентов. Ситуацией могут воспользоваться и клиенты, оставившие свои данные, комментируют представители бизнеса.
И, наконец, никто не предложил альтернативных этому законопроекту вариантов, комментирует в СМИ директор ИРПЭ Наталья Назарова. Нужен ли такой закон в современных условиях, когда экономика сужается и многим представителям малого бизнеса приходится в буквальном смысле слова выживать?
Более того, готовящийся проект посчитали несправедливым и по отношению к самим жертвам утечек. Так, суммы штрафов, которые предполагается накладывать на допустившие «слив данных» компании, подлежат зачислению в бюджет.
Один из вариантов поддержки пострадавших граждан - создание специального фонда для выплат им компенсаций - рассматривает сегодня Минцифры РФ в рамках законопроекта об оборотных штрафах за утечку персональных данных. Об этом со ссылкой на пресс-службу министерства сообщает ТАСС.
«Может быть создан специальный фонд, который будет действовать по аналогии с «Агентством по страхованию вкладов», выплачивающим возмещения вкладчикам банков при наступлении страховых случаев», - цитирует ТАСС сообщение Минцифры.
Инициативу по созданию фонда, предназначенного для выплат жертвам утечек, GR-директор «СерчИнформ» Ольга Минаева считает шагом вперед. Имеют место и альтернативные варианты. Например, по мнению главы комитета по информационной безопасности АРПП «Отечественный софт» Романа Карпова, для выплаты компенсаций можно было создать соответствующий цифровой сервис на «Госуслугах».
Однако пока никто не может сказать, каким именно образом будут подсчитываться сумма компенсации, будет ли она зависеть от реального или потенциального ущерба, нужно ли пострадавшим собирать и приводить доказательства, обосновывать ущерб, и при каких условиях можно на компенсацию претендовать.
Разработка и утверждение механизма компенсаций может занять длительное время, считает директор НКО «Информационная культура» Иван Бегтин, и потребует согласования с Кабмином, Госдумой и обсуждения с участниками рынка. А по словам директора центра разработки Artezio Дмитрия Паршина, если гражданам придется собирать доказательства и обоснования, компенсацию смогут получить лишь единицы из общей массы пострадавших.
Так или иначе, уже с 1 сентября 2022 г. на всех операторов персональных данных ляжет обязанность отслеживать кибератаки и утечки информации пользователей, о каждом инциденте в течение 24 часов сообщать в Роскомнадзор, оперативно начинать собственное расследование и доложить о его результатах надзорному ведомству в течение 72 часов. Все эти изменения значатся в поправках к ФЗ-152 «О персональных данных», принятых ГД РФ в третьем чтении в начале августа.