Такую точку зрения высказал вице-президент ПАО «Ростелеком» по информационной безопасности Игорь Ляпунов.
В настоящее время нормативная база устроена таким образом, что ответственность наступает за невыполнение тех или иных требований в части кибербезопасности. Т. е. «есть требования, как должна обеспечиваться защита, и все штрафы, предписания и т. д. полагаются в том случае, если требования не выполняются, – отмечает он. – Но когда мы говорим об ущербе национальной безопасности, то здесь должна наступать ответственность за факт возникновения ущерба, а не за невыполнение каких-то требований».
И здесь важен вопрос мотивации, считает эксперт. «Когда я произношу эти тезисы, мне часто говорят, что есть уголовная ответственность в части КИИ. Но, во-первых, правоприменительная практика единичная. Во-вторых, любая уголовная ответственность для бизнеса не пересчитывается в деньги. Это исключительно стимул для того, чтобы попытаться «вынырнуть» из-под нормативной базы. Т. е. должна быть финансовая ответственность за наступление ущерба».
«Я очень поддерживаю те меры, которые сейчас обсуждаются в части защиты персональных данных, в частности, оборотные штрафы. Я бы эту практику распространил на все остальные виды ущерба. Это будет ключевым стимулом для бизнеса выделять и финансировать обеспечение информационной безопасности», – уверен Ляпунов.