Компании по кибербезопасности увидели риски в новых положениях УК
Компании по кибербезопасности увидели риски для работников в новых положениях УК Работающие в сфере кибербезопасности компании опасаются, что их сотрудники могут подпасть под введенную недавно уголовную ответственность за незаконный оборот персональных данных. Положения УК стоит уточнить, считают в отрасли
Принятые в конце ноября поправки в Уголовный кодекс (УК), направленные на борьбу с утечками персональных данных, могут негативно отразиться на рынке кибербезопасности. Такие опасения высказали опрошенные РБК представители нескольких компаний, занимающихся информационной безопасностью.
Как пояснил заместитель гендиректора ГК «Гарда» Рустэм Хайретдинов, новые положения УК предусматривают наказание для тех, кто получает доступ к похищенным данным в интернете, но такие действия ежедневно выполняют специалисты по расследованию инцидентов в сфере кибербезопасности. Они анализируют утечки, исследуют метаданные и образцы данных, чтобы определить характер и объем утечек. «Сейчас экспертное сообщество активно работает с законодателями, чтобы разрешить эту правовую коллизию. Вариантов решения несколько: возможно, это будут определенного вида лицензии на право заниматься киберрасследованиями, по аналогии с «белыми хакерами», — рассказал Хайретдинов.
Такие обсуждения действительно ведутся в профессиональной среде, подтвердил РБК Александр Метальников, эксперт направления безопасности промышленных предприятий компании Infosecurity (ГК Softline). Законодатели, по его данным, в дискуссии пока не участвуют. Эксперт напомнил, что еще во время второго чтения законопроекта с поправками предлагалось сделать исключения для компаний, занимающихся легитимным анализом похищенных данных, но в окончательную версию закона такие оговорки не попали. «В результате ряд компаний, осуществлявших анализ утечек в даркнете, приостановили свою деятельность в этой области, — сказал Метальников. — Одним из решений проблемы могло бы стать введение исключений для организаций с лицензиями Федеральной службы по техническому и экспортному контролю (ФСТЭК), которые занимаются мониторингом информационной безопасности».
По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, не только злоумышленники могут исследовать информацию в даркнете или теневых телеграм-каналах, где часто публикуются украденные базы данных, — эксперты по информационной безопасности также анализируют подобные объявления с утечками данных и уведомляют о них пострадавших клиентов. «Сейчас отрасль опасается, что такие действия могут попасть под действие УК. Важно, чтобы была предусмотрена возможность продолжить официально оказывать такие услуги. Например, чтобы регулятор выдавал разрешение на подобную работу», — продолжает Голованов. Он напомнил, что аналогичный подход уже показал свою эффективность в вопросе защиты от вредоносного кода — компании по кибербезопасности ежедневно работают с ним, но эта деятельность не классифицируется как незаконное создание, распространение или использование вредоносных программ.
Наличие опасений в связи с возможным привлечением к уголовной ответственности работников, занимающихся информбезопасностью компаний, подтверждает руководитель направления консалтинга в «К2 Кибербезопасность» Ольга Трофимова. По ее словам, это может произойти в случае, если при оказании услуг по защите информации их действия в отношении персональных данных будут квалифицированы как неправомерный доступ к ним. Кроме того, действия представителей компаний в области информационной безопасности могут быть признаны совершенными группой по предварительному сговору, что увеличит уровень уголовной ответственности. Такое возможно, если компании получат доступ к персональным данным клиентов, оказывая услуги без подписания договора, определяющего обязанности и полномочия контрагентов, в том числе в части обработки и защиты данных, пояснила эксперт.
На рынке есть мнение, что любая незаконная обработка персональных данных может попасть под действие новой статьи УК, говорит бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий. По его словам, под незаконной обработкой регулятор понимает не только обработку сведений об утечках персональных данных, к которым имеют доступ компании в области информационной безопасности, но и передачу персональных данных без согласия, например в рамках группы компаний, неверную форму согласия на обработку персональных данных, обработку cookies (небольшие фрагменты текста, передаваемые в браузер с сайта, который открывает пользователь; с их помощью сайт запоминает информацию о посещениях), а также другие нарушения, которые раньше рассматривались как некритичные либо попадали под административное наказание. Сейчас регулятор их всерьез рассматривает с точки зрения нового состава преступления, пояснил эксперт.
Что предусматривает новая статья УК
30 ноября президент России Владимир Путин подписал закон, вносящий поправки в Уголовный кодекс; они вводят наказания за незаконный сбор и передачу персональных данных россиян (за исключением случаев обработки данных для личных нужд), а также за создание сайтов для их незаконного оборота. В частности, новая ст. 272.1 предусматривает:
- штраф до 300 тыс. руб. и до четырех лет лишения свободы за незаконное использование, передачу, сбор или хранение данных, полученных неправомерным путем;
- до пяти лет лишения свободы или принудительные работы, если преступление касается данных несовершеннолетних, биометрических или специальных категорий; штраф до 700 тыс. руб.;
- до шести лет лишения свободы и штраф до 1 млн руб. за указанные преступления с крупным ущербом или совершенные с корыстными мотивами;
- до восьми лет лишения свободы и штраф до 2 млн руб. за трансграничную передачу данных;
- до десяти лет лишения свободы и штраф до 3 млн руб. за преступления с тяжкими последствиями или совершенные организованной группой;
- штраф до 700 тыс. руб. или до пяти лет лишения свободы за создание ресурсов для незаконного оборота данных.
Согласны ли власти с опасениями
Цель нового закона — не ограничить законную деятельность специалистов в области кибербезопасности, а пресечь злоумышленное использование данных, сказал РБК член Совета Федерации, заместитель председателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин. Преступлением, по его словам, будет считаться незаконный оборот компьютерной информации, которая получена незаконным путем и содержит персональные данные. Если специалисты по расследованию киберинцидентов действуют на основании договоров с заказчиками, соблюдают законы и не нарушают права третьих лиц, то их действия не подпадают под незаконный оборот, указал Шейкин. «Мы готовы рассматривать предложения отрасли, если практика применения закона потребует дополнительного обсуждения», — добавил сенатор.
Глава комитета по информационной политике Госдумы Сергей Боярский передал через своего представителя, что к ним не поступали предложения от отрасли о внесении поправок в УК в части изменения нормы ответственности за нарушение законодательства о персональных данных. «Персональные данные, особенно биометрические персональные данные, — это очень чувствительная тема, и комитет последовательно выступает за то, чтобы закон максимально отвечал требованиям времени в части их защиты», — пояснил он.
Уголовная ответственность за незаконный сбор и передачу персональных данных россиян, а также за создание сайтов для их незаконного оборота предусматривается только для мошенников, осуществляющих доступ и распространяющих утекшие данные, сообщил РБК представитель Минцифры. По его словам, речи о добросовестных гражданах и специалистах в области информационной безопасности не идет — это одна из инициатив, входящих в комплекс мер по снижению и предупреждению случаев кибермошенничества. Сейчас Минцифры находится в диалоге с представителями индустрии и силовым блоком по этому вопросу, добавил собеседник РБК.
Читайте РБК в Telegram.