Борьба с утечками данных задела борцов
Аналитики опасаются уголовной ответственности
Крупные компании в области кибербезопасности опасаются рисков, которые могут появиться после принятия законопроекта об уголовной ответственности за работу с утечками персональных данных. В подготовленном ко второму чтению проекте нет исключений для участников рынка, изучающих утечки в профессиональных целях, что на данный момент создает риск уголовного преследования для специалистов, считают участники рынка.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
Доработанный ко второму чтению законопроект о введении уголовной ответственности за оборот украденных персональных данных затрагивает работу профильных специалистов по кибербезопасности. Как следует из письма участников рынка (более 15 компаний; есть у “Ъ”), направленного 22 ноября сразу двум ответственным комитетам Госдумы (по информационным технологиям и госстроительству и законодательству), проект «не предусматривает исключений для компаний, преследующих легитимные цели защиты инфраструктуры от компьютерных атак» и расследующих утечки данных.
Законопроект, внесенный в Госдуму в конце 2023 года, предлагает поправки к Уголовному кодексу РФ, устанавливающие ответственность за незаконные сбор, хранение и оборот персональных данных граждан (см. “Ъ” от 4 декабря 2023 года). Исходя из обновленной версии проекта, уголовно наказуемо, в частности, создание ресурсов (сайт, IT-система, программа) для незаконных хранения и передачи информации, содержащей персональные данные, полученные незаконно. Максимальное предлагаемое наказание за данное нарушение — лишение свободы на срок до пяти лет со штрафом в размере до 700 тыс. руб. и другие ограничительные меры.
Как пишут участники рынка, ужесточение ответственности за незаконный оборот данных будет способствовать сокращению числа ресурсов, осуществляющих такой оборот, но не гарантирует полную их ликвидацию, «злоумышленники не лишатся доступа к инструментам проникновения в организации».
Авторы обращения предлагают ко второму чтению закрепить в проекте условия, исключающие уголовную ответственность в таких случаях, в том числе за расследование утечек. По их мнению, важно сохранить возможность проведения анализа украденных данных для организаций, «осуществляющих противодействие преступникам».
«Сегодня важно усилить борьбу с теми, кто распространяет информацию в даркнете или мессенджерах»,— говорит главный эксперт «Лаборатории Касперского» Сергей Голованов. Но специалисты по кибербезопасности собирают данные об объявлениях с утечками и уведомляют пострадавших клиентов, напоминает он. Важно, чтобы в законопроекте была предусмотрена возможность продолжить официально оказывать такие услуги, например чтобы регулятор выдавал разрешение на подобную работу, добавляет господин Голованов. В компании Positive Technologies “Ъ” уточнили, что предлагают определить в законодательстве и подзаконных актах виды деятельности, условия и критерии, в рамках которых доступ к утекшим базам персональных данных будет законным. В Госдуме и Минцифры не ответили “Ъ”.
«Деятельность компаний и профессионалов, специализирующихся на мониторинге утечек в малом и среднем бизнесе с целью минимизации рисков кибератак, может стать незаконной, что увеличит вероятность нарушений безопасности»,— предупреждает СЕО компании по мониторингу утечек PassLeak Антон Лопаницын.
Поправки должны быть взвешенными и четко закреплять полномочия и ответственность ИБ-компаний, оказывающих легальные услуги по защите, говорит директор по работе с государственными структурами UserGate Сергей Петренко, «в противном случае часть услуг может выйти за пределы правового поля». Если проект будет принят в текущем виде, возможно, «некоторые игроки на ИБ-рынке будут вынуждены закрыть отдельные направления деятельности, например поиск следов компрометации на различных хакерских форумах», предупреждает начальник отдела по ИБ компании «Код безопасности» Алексей Коробченко.