«Даже если финансовые риски будут на аутсорсе, репутационные останутся на заказчике»
Кирилл Семион, директор департамента информатизации РЖД
Об изменениях работы бизнеса с персональными данными, рисках оборотных штрафов и ответственности компаний, планирующих отдать обработку информации на аутсорс, “Ъ” рассказал директор департамента информатизации РЖД и гендиректор Национального центра компетенций по информационным системам управления холдингом (НЦК ИСУ) Кирилл Семион.
Кирилл Семион
Фото: из личного архива
Кирилл Семион
Фото: из личного архива
— Потенциальный риск получить оборотный штраф за утечку данных может повлиять на цены на услуги компаний—операторов данных? Не будет ли бизнес закладывать риск в цены?
— Возможно, бизнес будет таким образом мотивировать повышение цен, но в реальности обосновать какую-то конкретную оценку данного риска очень сложно, так как штраф оборотный. Например, берем потенциальную сумму штрафа, делим на количество выпускаемого продукта и на полученный результат увеличиваем цену единицы товара. Но тогда увеличится база для расчета оборота — и цикл будет бесконечным. Это если упрощать. А так — надо будет учитывать степень защищенности, вероятность реализации риска и другие факторы. Более вероятно, что риск получения оборотного штрафа приведет к переводу работы оператора персональных данных в вид услуги, которую бизнес будет брать на условиях аутсорсинга. И здесь будет важна договорная обвязка этой услуги.
— Повлияет ли вообще наличие штрафов на негласную стоимость персональных данных?
— Могу предположить, что усиление средств защиты и контроля обращения персональных данных должно осложнить их нелегальную реализацию. В результате негласная стоимость персональных данных вырастет, но спросом, к сожалению, они по-прежнему будут пользоваться.
— Будут ли аудиторы и консалтинговые компании включать в свои рейтинги показатели по охране баз персональных данных?
— Наверняка. И такая оценка будет очень востребована как подтверждение надежности бизнеса.
— Сейчас уже набирают популярность аудиты существующих систем хранения данных. Появится ли отрасль в информационной безопасности, которая будет специализироваться на таких работах для существующих инфраструктур?
— Вряд ли это будет отдельной отраслью. Другое дело, что может выделиться отдельная услуга по усилению степени защиты персональных данных. Тут становится очень важным, какую ответственность несет провайдер такой услуги. Главное, чтобы в итоге не получилось, что реализация его рекомендаций будет дороже, чем сам гипотетический штраф.
— Какие ошибки может совершить оператор персональных данных, который отдает на аутсорс кибербезопасность?
— Основные ошибки — некачественная проработка условий договора в части ответственности сторон и недостаточно тщательный выбор контрагента. Даже если финансовые риски будут на аутсорсе, репутационные все равно останутся на заказчике.
— Смогут ли команды по расследованию киберпреступлений после вступления закона в силу скачивать из дарквеба утекшие базы данных для изучения их содержимого?
— А что им может помешать? Законодательного запрета на это нет.
— Что мешает появлению киберстрахования?
— Очень интересный вопрос. Думаю, что неготовность страхового рынка. У НЦК ИСУ есть прецедент совместной со страховой компанией проработки нового продукта, который позволит страховать некоторые риски в области IT. И такое совместное сотрудничество дает отличные результаты. Надеюсь, скоро сможем анонсировать. Так что процедура уже пройдена, а значит, и другие такие продукты станут появляться.
