Нового законопроект о ответственности за работу с утечками персональных данных грозит рисками компаниям, занимающимся кибербезопасностью. Письмо с таким содержанием отправили комитетам Госдумы по информационным технологиям и госстроительству и законодательству более 15 крупных участников рынка, пишет «Коммерсантъ».
По мнению отрасли, законопроект «не предусматривает исключений для компаний, преследующих легитимные цели защиты инфраструктуры от компьютерных атак» и расследующих утечки данных. В письме сказано, что ужесточение наказания не решит проблему полностью, «злоумышленники не лишатся доступа к инструментам проникновения в организации», получится лишь сократить их ресурсы. Специалисты по киберзащите призвали закрепить в законе условия, которые исключат ответственность за расследование утечек, чтобы сохранить возможность проведения анализа украденных сведений для организаций, «осуществляющих противодействие преступникам».
Законопроект внесли в Думу в конце прошлого года, документ предлагает внести поправки в УК, установив ответственность за незаконные сбор, хранение и оборот персональных данных граждан. Уголовному наказанию подлежит создание ресурсов для незаконных хранения и передачи информации, содержащей персональные данные, полученные незаконно. Предельное наказание — заключение на срок до пяти лет.
Следует усилить борьбу с распространяющими личные сведения в мессенджерах и даркнете, но специалисты по кибербезопасности собирают информацию об объявлениях с утечками и уведомляют пострадавших клиентов, поясняет главный эксперт «Лаборатории Касперского» Сергей Голованов. По его мнению, в законодательстве необходимо закрепить норму, согласно которой оказывать такие услуги можно будет официально, например, с помощью выдачи разрешений на такую работу от регулятора.
«Деятельность компаний и профессионалов, специализирующихся на мониторинге утечек в малом и среднем бизнесе с целью минимизации рисков кибератак, может стать незаконной, что увеличит вероятность нарушений безопасности», — полагает руководитель компании по мониторингу утечек PassLeak Антон Лопаницын.
Если поправки не будут взвешенными и четко закрепляющими полномочия и ответственность компаний по информационной безопасности, «часть услуг может выйти за пределы правового поля», предупреждает директор по работе с государственными структурами UserGate Сергей Петренко. Некоторым специалистам придется «закрыть отдельные направления деятельности, например поиск следов компрометации на различных хакерских форумах», считает начальник отдела по ИБ компании «Код безопасности» Алексей Коробченко.
Россия возглавила рейтинг стран по количеству объявлений о продаже баз данных компаний в даркнете, на российские объявления пришлось примерно 10% от их общего количества за первое полугодие 2024-го, подсчитали летом аналитики Positive Technologies.
«Если мы зайдем в даркнет, то там есть консолидированная украинскими спецслужбами или хакерами информация по каждому из нас. Я по себе [даже] просил», — рассказал в ноябре глава «Ростелекома» Михаил Осеевский.
Читайте РБК в Telegram.