11.06.2023

За киберпреступление в тюрьму: в Госдуме предлагают ввести уголовную ответственность за использование персданных в преступных целях

Законопроект об уголовном наказании за использование утечек персональных данных в преступных целях сегодня разрабатывает Минцифры РФ совместно с депутатами Госдумы и сенаторами. Количество массовых утечек в сети растет постоянно – сегодня они стали основным способом для западных спецслужб получить информацию о российских пользователях. В первую очередь, государство должно начать целенаправленную борьбу с хакерами, которые становятся проводниками слитой информации, кроме того ответственность должны нести и операторы, не обеспечившие достаточную защиту конфиденциальной информации.

Минцифры совместно с депутатами Госдумы и сенаторами готовит законопроект об уголовном наказании за использование утечек персональных данных в преступных целях, рассказал в своем телеграм-канале глава комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн. Актуальность темы доказывают и последние новости – только на этой неделе стало известно о нескольких масштабных утечек у крупных предприятий, в результате которых в сети оказались миллионы записей с персональными данными россиян. В частности, оказались «слиты» базы данных торговых сетей «Ашан», «Твой дом», Gloria Jeans, а также клиентов и пользователей книжного интернет-магазина «Буквоед», строительного магазина «Леруа Мерлен», сайта кулинарных рецептов «Едим Дома» и магазина одежды «Твое».

Как предполагают эксперты, все данные опубликовал один и тот же хакер, утечка могла произойти через систему управления базами данных «1С-Битрикс». Предположительно, мошенники получили доступ к копии сервера или даже к самому серверу. «Хакеры ведут себя дерзко — те же анонимы уже «сливали» данные россиян из других компаний, теперь еще грозят опубликовать информацию из баз данных еще 12 крупных компаний. Вектор борьбы со злоумышленниками очевиден: Минцифры вместе с ИТ-комитетом и сенаторами разрабатывают законопроект об уголовном наказании за использование утечек. Киберпреступники — это прежде всего преступники, со всем вытекающими последствиями», — написал в телеграм-канале Александр Хинштейн.

Ответственность за утечки должны нести и компании, которые их допускают, уверены в Госдуме. Сейчас они уже обязаны оперативно уведомлять Роскомнадзор об утечках, также действует запрет на принудительный сбор биометрии. В Минцифры также обсуждается инициатива, согласно которой, оператор, допустивший утечку персональных данных клиентов или сотрудников, получит минимальный размер оборотного штрафа, в том случае, если сможет компенсировать ущерб большинству пострадавших. Ранее компенсировать всем пользователям ущерб от утечек их данных предложили и в Роскомнадзоре.

«Важно не столько установить ответственность для операторов, у которых утекли данные, сколько добиться того, чтобы человек, чьи данные попали в общий доступ, получил соразмерную компенсацию. Нам нужно понять, как права человека будут восстановлены. Один из механизмов, который сейчас предлагается, и Минцифры подтверждает возможность его реализации, это через портал госуслуг дать лицам, чьи данные попали в общий доступ, заявить об этом и потребовать компенсацию непосредственно от оператора, без суда, без подтверждения принадлежности этих персональных данных. Достаточно должно быть только авторизации на портале госуслуг. Не нужно будет обращаться к оператору напрямую и потом идти в суд», — рассказал замглавы ведомства Милош Вагнер на конференции «Цифровая индустрия промышленной России» (ЦИПР).

При этом, как подчеркнул Александр Хинштейн, возмещение ущерба за утечки не должно стать лазейкой для компаний-нарушителей, которым может быть проще откупаться компенсациями, чем усиливать внутреннюю систему информационной безопасности в целом. По его словам, в законопроекте об оборотных штрафах уже есть достаточно компромиссных моментов, которые выработаны вместе с отраслью. В частности, ответственность на оператора налагается только после повторного инцидента с персональными данными. Также смягчающим обстоятельством может стать тот факт, что компания уведомила Роскомнадзор в установленные законом сроки, в течение 24 часов после выявления утечки.

Количество утечек в сети сегодня продолжает расти, а значит должно последовательно усиливаться и законодательство, которое контролирует эту сферу, уверен член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. «После блокировки иностранных социальных сетей, которые, как известно, использовались западными спецслужбами для сбора данных о российских пользователях, новым, альтернативным способом получения информации о россиянах стали именно утечки с различных сервисов. Количество утечек растет в геометрической прогрессии, в СМИ регулярно появляются сообщения о новых «сливах», что играет и как психологический фактор запугивания населения нашей страны. Со стороны государства комплексно прорабатываются меры наказания для компаний, которые становятся виновниками утечек. Тем не менее, важно наказать всех участников этой цепочки, и основными акторами в ней, безусловно, являются хакеры, которые не только крадут данные, но и перепродают их на черном рынке. Найти их достаточно сложно, но возможно, и наши правоохранительные органы ведут эту работу. Ответственность за их действия должна быть самой строгой», — подчеркнул депутат.

Сами компании также должны вести серьезную работу по наращиванию мер защиты своих ресурсов от атак хакеров. «Здесь нужно действовать комплексно и отлаженно, однако механизм довольно простой – следить за состоянием оборудования, не жалеть денег на его обновление, регулярно обсуждать меры кибербезопасности с сотрудниками и объяснять им, каким образом каждый конкретный человек может внести свой вклад в защиту данных. А также ни в коем случае не расслабляться, думая, что в вашей сфере данные хакерам неинтересны. Как мы видим из списка компаний, которые уже потеряли данные, сферы их деятельности очень разные. И, в первую очередь, это связано с тем, что мошенникам важно именно достигнуть цели и украсть данные, наполнение самих дампов украденных данных по сути их и не интересует», — заключил Антон Немкин.