Данные не влезают в систему
Бизнес выступил против подключения к ГосСОПКА
Российская ассоциация электронных коммуникаций (РАЭК) раскритиковала поправки к закону «О персональных данных», по которым все их операторы должны подключиться к системе обнаружения кибератак. Это не поможет защитить частную информацию граждан, но приведет к финансовым и административным издержкам для бизнеса и муниципальных организаций, считают эксперты. Главная проблема утечек персональных данных в России, по мнению юристов, низкие штрафы за их компрометацию.
“Ъ” ознакомился с замечаниями РАЭК к поправкам к закону «О персональных данных», которые 6 апреля внесла в Госдуму группа депутатов во главе с председателем комитета Госдумы по информполитике Александром Хинштейном и сенатором Андреем Клишасом (см. “Ъ” от 6 апреля). Позиция РАЭК была направлена господину Хинштейну 4 мая.
Согласно предложенным поправкам, все операторы персональных данных обязаны информировать органы власти о любых утечках личной информации граждан, а также подключиться к госсистеме обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). По действующему законодательству к системе подключены только объекты критической информационной инфраструктуры (банки, операторы связи, организации ТЭКа и так далее). Операторы должны также информировать Роскомнадзор о любых фактах трансграничной передачи личных данных, которую ведомство может запретить.
РАЭК предлагает исключить норму о подключении операторов к ГосСОПКА.
«Это потребует от операторов существенных затрат на строительство защищенных каналов связи со средствами криптографической защиты, причем коснется и всех бюджетных организаций»,— отмечается в письме. Утечки персональных данных по большей части происходят в результате действий злоумышленников из числа сотрудников, а не хакеров извне, подчеркивают в РАЭК. Неясно также, какое отношение к личной информации граждан имеет Национальный координационный центр по компьютерным инцидентам (НКЦКИ, оператор ГосСОПКА), вопросы обработки персональных данных находятся в компетенции Роскомнадзора, поясняют в ассоциации.
В Минцифры между тем уверены, что НКЦКИ «показал свою эффективность» в последние два месяца, «персональные данные требуют надежных механизмов защиты, поэтому требования по взаимодействию операторов персональных данных с ГосСОПКА обоснованны». Опасения РАЭК в отношении финансовых затрат при подключении к ГосСОПКА «стоит проработать напрямую с НКЦКИ», добавили в министерстве, отметив, что есть разные способы взаимодействия, в том числе «не влекущие расходы». Александр Хинштейн не ответил “Ъ”.
Александр Хинштейн, глава комитета Госдумы по информационной политике, в своем Telegram-канале 1 апреля:
«Скандал с утечкой базы "Яндекс.Еды" вновь показал, насколько не защищены персональные данные россиян. И дело здесь не только в условиях хранения и мерах безопасности, которыми компания, вероятно, пренебрегала».
РАЭК также предлагает вернуть в законопроект оговорку, по которой оператор персональных данных может не уведомлять Роскомнадзор о начале обработки информации в соответствии с трудовым законодательством, а также если доступ к данным не предоставляется третьим лицам. Это исключение есть в действующей версии закона, но не в предложенных поправках. «Принятие инициативы в текущей версии приведет к тому, что все юрлица и частные предприниматели должны будут уведомлять Роскомнадзор о приеме на работу каждого нового сотрудника»,— считают в РАЭК.
В Ассоциации больших данных (АБД, объединяет МТС, «МегаФон», Сбербанк, «Яндекс», VK, Газпромбанк и др.) считают необходимым ограничить взаимодействие бизнеса с ГосСОПКА случаями, которые сопряжены с реальными рисками для граждан. Их, по мнению АБД, должно определить правительство. Предложенный порядок трансграничной передачи данных также «требует дополнительного обсуждения», добавили в «Вымпелкоме».
Новая норма об уведомлении Роскомнадзора создаст огромную административную нагрузку на бизнес, согласен член комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Вадим Перевалов. «Передавать требуется достаточно подробные сведения об обработке данных в короткие сроки — десять дней»,— отмечает он. В России больше 8 млн операторов персональных данных, в том числе индивидуальных предпринимателей, «для них расходы на подключение к ГосСОПКА станут тяжелой ношей», говорит эксперт юридической фирмы DRС Евгений Кравченко. Основная проблема утечек персональных данных, по его мнению, невысокие штрафы за их компрометацию и низкий уровень института репутации в России. В такой ситуации бизнесу «проще заплатить небольшой штраф, чем тратиться на системы защиты данных».