Названо место России в мировом рейтинге информационной безопасности

Российское законодательство в области информационной безопасности соответствует лучшим зарубежным образцам, а по ряду пунктов превосходит их. Тем не менее, действующие штрафы за утечку информации о персональных данным не выдерживают никакой критики

Об этом заявил и.о. директора Института конкурентной политики и регулирования рынков НИУ ВШЭ Олег Москвитин.

По его словам, проблема утечки персональных данных продолжается оставаться одной из самых актуальных в повестке обеспечения кибербезопасности, причём, не только в России, которая занимает в соответствующем общемировом рейтинге 28-место.

Как отметил Москвитин, учитывая, что такие крупные игроки в интернет-пространстве, как США, Великобритания, Япония и Китай не входят в лидеры, занимая места немногим выше России, а Сингапур и вовсе оказался на 29-й строчке, можно сделать вывод, что в РФ дела с обеспечением кибербезопасности обстоят неплохо. Однако более 60 случаев утечки персональных данных с начала года говорят о необходимости вносить в законодательство конкретные изменения, то есть, наказывать за нарушения рублём.

По словам юриста коллегии адвокатов «Муранов, Черняков и партнёры» Алима Березгова, в 2022 году в открытом доступе оказались более 230 млн записей о персональных данных россиян. Наиболее «отличились» сервис по доставке еды и одна из логистических компаний, а утечка 300 гигабайтов персональных данных с медицинскими анализами одной из частных клиник стала предметом уголовного преследования.

«Существующие штрафы в 60 тысяч рублей за первое нарушение, и до 300 тысяч рублей – за повторное, не значат для крупных компаний ровным счётом ничего. Такие деньги они заложить в годовом бюджете, нарушать, выплачивать штраф и работать дальше», – пояснил юрист.

В этой связи экспертное сообщество поддерживает инициативу введения так называемых оборотных штрафов, причём, составлять он должен не менее 4% годовой выручки компании.

«Опыт западных стран, где наказания за утечку персональных данных намного жёстче российского, говорит о необходимости принятия такого решения», – считает Москвитин.

Он считает, что только таким образом можно будет навести порядок в сфере обеспечения кибербезопасности. Британская «British Airways», к примеру, за утечку персональных данных раскошелилась на 200 млн евро, сеть отелей Мarriott была вынуждена заплатить 124 млн долларов, а Google – 50 млн евро за аналогичные нарушения, а в Японии за подобное может грозить уголовная ответственность.

«Мы считаем, что в России уголовная ответственность должна наступать в случае намеренного несанкционированного доступа к базам данных. Отдельно необходимо ужесточить наказание за незаконное приобретение и последующее распространение персональных данных несовершеннолетних, – отметил Березгов. — При этом у компании, которая потеряла базу данных, могут быть не только отягчающие обстоятельства, но и смягчающие, вплоть до освобождения от ответственности, если она сможет доказать, что предприняла все меры к тому, чтобы не допустить киберкражи.

Обращаясь к опыту зарубежных стран, Москвитин привёл в пример Бразилию, где в каждой компании в обязательном порядке есть сотрудник, отвечающий за информационную безопасность. Этот пример, по его словам, тоже следовало бы перенять. 

Эксперты также считают, что в России необходим цифровой омбудсмен, который мог бы отстаивать права как бизнеса, так и граждан, и был уполномочен вносить те или иные рекомендации на уровне правительства и законодателей. Соответствующий пример есть в Великобритании, где работает комиссар по информации, назначаемый правительством. Как отмечают эксперты, такая практика себя зарекомендовала.

«Наша система защиты не только персональных данных, но и в целом цифровой информации может стать одной из лучших в мире. Но для этого нужны изменения в законодательстве», – сказал Москвитин.

Эксперт по кибербезопасности Андрей Солодовников в беседе с журналистом «Московской газеты» отметил, что в целом согласен с идеей ввести в штат компаний сотрудника, отвечающего за цифровую безопасность.

«Такие специалисты нужны в большинстве компаний, где есть интернет и какие бы то ни было данные, в том числе коммерческие. Те, у кого такой работник уже есть, могут ему платить. Другие и рады бы взять специалиста, но не всем позволяет бюджет, тем более что ставка такого работника заметно выше средней зарплаты по региону», – считает эксперт.

Тем не менее, как отметил Солодовников, компании будут вынуждены приходить к созданию таких штатных единиц, а может быть и отделов, потому что современным вызовам уже сегодня приходится противостоять профессионально.