Такую точку зрения высказал заместитель директора ФСТЭК России Виталий Лютиков, комментируя вопросы наказания организаций за последствия от киберинцидентов.
Существует мнение, что необходимо наказывать компании за ущерб вследствие киберинцидентов, а не за нарушение требований ИБ. «Понятная позиция, но это ровным счётом то же самое, что в правилах дорожного движения наказывать за аварию с жертвами, но не за факт нарушения ПДД, – объясняет Лютиков. – Здесь может возникнуть такая же концепция».
Подобная модель имеет прав на существование, но исходя из имеющегося опыта, в таком случает «вообще никто ничего делать не будет, – говорит он. – Все будут говорить, что ничего не произошло. У нас сегодня есть много случаев, когда выявляется утечка (предположим, миллионные базы данных), и первая реакция, которую мы слышим в ответ – «ничего страшного не произошло, это открытая информация». Она может и открытая, но никто не задумывается о последствиях произошедшего. Телефоны утекли – ничего не произошло, сайт висит, не работает – ничего страшного. В этой модели нужно чётко понимать, что за ней стоит оценка последствий инцидента». И если у государственного органа «лежит» сайт, например, два часа, эксперты должны оценить, что это значит «либо в рублях, либо в репутации», считает замдиректора ФСТЭК.
.png)