В Государственной Думе обсудили проблемы и перспективы защиты персональных данных от киберинцидентов

Дата публикации: 23 Июня 2017

В Государственной Думе обсудили проблемы и перспективы защиты персональных данных от киберинцидентов

22 июня 2017 года в Государственной Думе Российской Федерации состоялось совещание на тему «Законодательное регулирование вопросов взаимодействия уполномоченных госорганов в сфере защиты персональных данных от киберинцидентов: проблемы и перспективы».

В совещании приняли участие представители МВД, РАЭК, РОЦИТ, ИРИ, Роскомнадзора, ПАО “Ростелеком”, Сбербанка России, Координационного  центра национального домена сети Интернет, Mail.Ru Group, Group-IB, Следственного комитета РФ и другие.

Целью совещание стал обмен мнениями среди приглашенных представителей органов госвласти, отраслевых экспертов и представителей интернет-бизнеса – по темам повышения защищенности оборота персональных данных в Сети. 

Ключевой акцент был сделан на 2 законопроекта, касающиеся этого вопроса, обсуждению которых и было уделено больше всего внимания: 

1. Законопроект «О внесении изменений в статью 18.1 Федерального
закона «О персональных данных»»
 

Направлен на минимизацию последствий «утечек» персональных данных путем повышения уровня реагирования на инциденты, связанные с «утечками» персональных данных с целью скорейшего предотвращения неправомерного использования похищенных данных и профилактики аналогичных инцидентов.

Оператор персональных данных, не принявший необходимых мер по обеспечению безопасности персональных данных при их обработке, либо при «утечке» персональных данных по независящим от него обстоятельствам, не заинтересован по разным указанным выше причинам уведомить субъекта персональных данных или его представителя, а также уполномоченный орган по защите прав субъектов персональных данных и федеральный орган исполнительной власти в сфере внутренних дел о произошедшем. В результате субъекту персональных данных может быть причинен существенный вред, в том числе материальный (например, от действий мошенников), причем число таких субъектов персональных данных в некоторых случаях может исчисляться миллионами.

2. Законопроект «О внесении изменений в статью 13.11 Кодекса
Российской Федерации об административных правонарушениях»: 

Является отдельным проектом в соответствии со статьей 1.1 Федерального закона «О введении в действие Кодекса Российской Федерации об административных правонарушениях». Законопроект направлен на установление административной ответственности за неисполнение в срок обязанности, которую предлагается ввести проектом федерального закона «О внесении изменений в статью 18.1 Федерального закона «О персональных данных»».

При этом размер санкций предлагается определить в соотнесении с предусмотренными в статье 13.11 Кодекса Российской Федерации (в редакции Федерального закона от 07 февраля 2017 г. № 13-ФЗ, вступает в силу с 01 июля 2017 г.) размерами административных штрафов. Максимальный размер штрафа на юридических лиц – сто тысяч рублей.


Директор Ассоциации Электронных Коммуникаций (РАЭК), Сергей Плуготаренко выступил с объемным докладом, в рамках которого рассказал о деятельности Ассоциации, проводимой по направлению защиты персональных данных, взглядах РАЭК относительно законодательных инициатив в этой отрасли, а также о позиции интернет-бизнеса по данному вопросу.

Напомним, что РАЭК давно и успешно занимаемся  вопросами защиты персональных данных. В частности, РАЭК агрегирует мнения игроков российской интернет-отрасли, осуществляет экспертизу законопроектов и подзаконных актов в связи с противодействием киберпреступлениям и защитой персональных данных.

Специально для координации деятельности Ассоциации по этому направлению и обеспечению диалога “отрасль - государство” в РАЭК создан Экспертно-Консультативный Совет по взаимодействию с ОГВ.  А для работы над вопросами, связанными с темой сегодняшней встречи, в 2016 году в РАЭК создан Кластер “РАЭК / Информационная безопасность”, ставший правопреемником Комиссии РАЭК по информационной безопасности и борьбе с киберпреступлениями – старейшей комиссии РАЭК, успешно работавшей с 2006 года.

В ходе своего выступления директор РАЭК сделал акцент на выводах, сделанных аналитическим отделом Ассоциации, относительно существующих тенденции в области защиты персональных данных.

Дальнейшее проникновение информационных технологий во все общественные сферы вызвало в последнее время лавинообразный рост разного рода киберугроз.

2016 год был «богат» на всевозможные хакерские атаки.  Жертвами высокопрофессиональных кибератак, которые привели к долгим простоям в работе, финансовым потерям и нанесли серьезный урон репутации стали многие банковские, финансовые институты, коммерческие компании, целые страны и их инфраструктурные сервисы, среди наиболее запомнившихся – Украинские энергосети, центральный банк Бангладеш, Всемирное антидопинговое агентство (WADA).  Пользователи тоже не остались в стороне: сотни миллионов аккаунтов и паролей пользователей были украдены у LinkedIn и Yahoo. Киберугрозы повлияли на политическую обстановку в мире: нельзя не вспомнить утечку писем Демократической партии США, раскрытие офшорных счетов Mossac Fonseca и деятельность группировки Fancy Bear. Предпосылками современных угроз стали такие факторы, как отставание средств защиты, рост экономической ценности персональных данных для киберпреступников современности, ухудшение политической обстановки, политика и геополитика, нехватка квалифицированных кадров в отрасли, а также рост технологических возможностей атак.

Сергей Плуготаренко

СергейПлуготаренко

РАЭКДиректор

Аналитики РАЭК приводят наиболее шокирующие цифры:

  • Сейчас в разных странах мира работают не менее 40 миллионов киберпреступников. Примерный ущерб от их действий оценивается в 500 миллиардов долларов.
  • При этом количество вирусных атак в мире растёт по 3 процента в месяц, атак на веб-сервисы - по 2,5 процента, а число краж персональных данных, приводящих к прямым кражам денег с различных устройств или электронных кошельков - по 3,5 процента.
  • При этом продолжает расти число неизвестного вредоносного ПО: исследователями было обнаружено 9-кратное увеличение количества неизвестных программ, атакующих организации. Каждый месяц специалисты обнаруживают почти 12 миллионов новых вариантов вредоносных программ.

Одной из самых главных угроз развития онлайн-сервисов ближайшего будущего станет доверие к технологиям.  Снова пример из совершенно “недавнего прошлого”.

Атака вируса-вымогателя WannaCry, который заразил более 230 000 устройств в 150 странах. Есть информация о том, что еще в Марте компания Miscrosoft выпустила обновление, установка которого устранила бы угрозу вируса, но многие пользователи, компании и государственные органы пренебрегли его установкой. Это интересное наблюдение - с точки зрения технологий опасность киберугроз можно значительно уменьшить, но человеческий фактор всегда будет давать стабильный процент уязвимости. На уровне государственной политики необходимо сохранить баланс между обеспечением национальной безопасности и сохранением трансграничности и глобальности инфраструктур.

Сергей Плуготаренко

СергейПлуготаренко

РАЭКДиректор

Для обеспечения кибербезопасности необходимо эффективное международное взаимодействие, однако Конвенцию о компьютерных преступлениях Совета Европы, принятую в 2001 году в Будапеште, ратифицировало только 53 страны, исключая Россию, которая готовит альтернативный вариант конвенции. Взаимный дефицит доверия мешает работе по созданию эффективных международных механизмов по борьбе с киберпреступностью. В настоящее время фактически отсутствует механизм трансграничного расследования киберпреступлений, а противодействие им на уровне национальных законов осложняется тем, что, зачастую, организаторы атаки, а также серверы, на которых расположено вредоносное ПО, находятся в разных странах.

“В глобальной системе цифровых отношений обеспечить безопасность силами отдельно взятого государства невозможно” - сказал Сергей.

Еще одним принципиальным блоком выступления Сергея Плуготаренко стали предварительные позиции РАЭК по следующим законопроектам:

  • По законопроекту «О внесении изменений в статью 18.1 Федерального закона «О персональных данных»»:
    “Мы разделяем обеспокоенность в связи с «утечками» персональных данных граждан. Вместе с тем полагаем, что необходимость уведомления органа внутренних дел является излишней. В случае, если будет уведомлен Роскомнадзор и в сообщении будут содержаться признаки преступления, служба самостоятельно может направить обращение в органы внутренних дел. Также следует увеличить срок уведомления, который сейчас предлагается установить в 1 рабочий день. Федеральный закон «О персональных данных» по другим ситуациям предусматривает более длительные сроки” - сказал Сергей Плуготаренко.
  • По законопроекту «О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях»:
    “В случае, если будет предусмотрена обязанность уведомлять об «утечках» установление административной ответственности является логичной. Вместе с тем размер штрафов предлагается уменьшить. Следует иметь в виду, что операторов персональных данных сотни тысяч и для некоторых из них штраф в 80-100 руб. является запредельным, угрожающим прекращением деятельности”, - отметил директор РАЭК.

В целом РАЭК приходит к двум наиболее значимым выводам:

  1. Необходима дополнительная экспертиза с подключением экспертов интернет-отрасли и смежных отраслей
  2. Необходима выработка отраслевых рекомендаций и пожеланий. РАЭК готова стать консолидатором такого процесса, со стороны отрасли.

По итогам заседания главный аналитик РАЭК, Карен Казарян предложил на базе Кластера "РАЭК / Информационная безопасность" собрать отраслевые предложения ко второму чтению законопроекта.

При регулировании новых сред, особенно таких направлений как ДАННЫЕ (персональные, большие, пользовательские) – необходим баланс между мерами по защите граждан и стимулами по развитию новой (цифровой экономики), ведь данные – это новая кровь онлайн-экономики .

Мы считаем, что российское законодательство регулирования сегментов Цифровой Экономики должно идти в ногу с международным, в первую очередь – с обсуждаемыми в Евросоюзе, где бережному регулированию оборота и защиты ПерсДанным уделяется огромное внимание, где соблюден баланс между мерами по защите граждан и стимулами по развитию новой (цифровой экономики).

При этом наше исследование показало, что динамика роста цифровой экономики зависит не только от технологий и экономических вопросов, но и в значительной степени от доверия всех потребителей / пользователей технологий: граждане, бизнес, государство. Поэтому повышать меры защиты персданных, бороться с их утечками нужно. Но придерживаясь международного тренда на баланс, описанный выше.

Таким образом, Мы разделяем обеспокоенность в связи с «утечками» персональных данных граждан и готовы работать над улучшением предложенных законопроектов, осознавая их своевременность и необходимость. 

Вместе с тем полагаем, что:

1. Необходимость уведомления органа внутренних дел является излишней (если будет уведомлен Роскомнадзор и в сообщении будут содержаться признаки преступления, служба самостоятельно может направить обращение в органы внутренних дел). 

2. Следует увеличить срок уведомления, который сейчас предлагается установить в 1 рабочий день. Федеральный закон «О персональных данных» по другим ситуациям предусматривает более длительные сроки. 

3. В случае, если будет предусмотрена обязанность уведомлять об «утечках», установление административной ответственности является логичной, но предложенный авторами законопроекта размер штрафов предлагается уменьшить. Следует иметь в виду, что операторов персональных данных сотни тысяч и для некоторых из них штраф в 80-100 руб. является запредельным, угрожающим прекращением деятельности.

Сергей Плуготаренко

СергейПлуготаренко

РАЭКДиректор

Материалы по теме: