Отчёт регулятору об утечке персональных данных станет обязательным
Госдума в третьем чтении проголосовала за поправки к ФЗ-152 «О персональных данных». Согласно законопроекту, операторы персональных данных (ПД) будут обязаны отслеживать кибератаки и утечки личной информации пользователей, а также отчитываться о каждом инциденте в надзорные ведомства.
Ранее об инцидентах с утечками данных Роскомнадзор и другие регуляторы узнавали из СМИ, Telegram-каналов или после жалоб пользователей. Теперь компания, в которой произошла утечка, должна сама оперативно начать её расследование и уведомить РКН о факте инцидента и результатах его расследования. Сейчас РКН запрашивает самостоятельно детали инцидентов по утечке данных клиентов у каждой компании отдельно.
Эксперты считают, что новые правила поначалу не сократят количество утечек, а приведут к дополнительной работе, которую должны выполнить операторы ПД. Многие из компаний не обладают компетенциями по выявлению фактов утечек и не имеют современных средств за контролем утечек данных пользователей.
Согласно законопроекту, теперь все компании, которые обрабатывают или хранят персональные данные, должны:
- устанавливать правила доступа к ПД, которые хранятся или обрабатываются в инфраструктуре;
- регистрировать все операции с ПД, которые совершают процессы или пользователи;
- отслеживать факты утечек по вине сотрудников и неправомерного доступа к системам обработки ПД извне;
- выявлять инциденты и сообщать о произошедшем: в случае кибератаки — в ГосСОПКА, а в случае утечки по вине сотрудника — в Роскомнадзор. На это компании отводятся одни сутки;
- определять виновных, причины, вред от инцидента и отправлять регуляторам результаты внутреннего расследования. Его нужно будет успеть провести за 72 часа.
Представители отрасли считают, что компании станут массово логировать все действия с ПД, чтобы не и пропустить аномальную активность в базах данных, и предотвратить инцидент с утечкой ещё на начальной стадии. В этом случае операторам ПД придётся внедрять у себя DCAP-системы, DLP-системы и SIEM-системы для мониторинга и управления инцидентами информационной безопасности. Это потребует времени и финансовых затрат, а также плотной работы с российскими разработчиками таких решений. Многие зарубежные вендоры по ИБ ушли с рынка и прекратили продавать свои продукты.
В настоящее время за утечку персональных данных очень маленькие штрафы, согласно ст.13.11 КоАП. Фактически операторы ПД сейчас ничем не рискуют, если потеряют базы данных тысячи пользователей. На них судом будет наложен штраф в несколько десятков тысяч рублей (от 60 до 100 тыс. рублей).
В российском законодательстве нет определения того, что считать утечкой персональных данных, и неясно, какое ведомство и по каким критериям будет проверять, подтверждать и классифицировать утечки данных для оборотных штрафов. В законе нет обозначения, что является новой утечкой и как понять, что это не предыдущая. Компаниям проще заявлять, что это старая утечка и прикрываться предупреждением от РКН или небольшим штрафом.
В конце мая Минцифры согласовало законопроект с оборотным штрафом в 1% за утечки и 3%, если компания попытается скрыть инцидент.
В начале июля Минцифры сообщило, что работает над законопроектом, предусматривающим уголовную ответственность для представителей компаний, которые допустили утечку персональных данных с тяжкими последствиями.
12 июля Минцифры пояснило, что ведомство против предупреждения компаний за первую утечку персональных данных и предлагает сразу штрафовать, причем соразмерно объёму слитой информации. В случае повторной утечки компаниям будут грозить серьёзные оборотные штрафы.