Снять с работы, да ещё без права занимать должность главного ибэшника в банках в течение десяти лет — такое наказание за утечки ПДн предполагает реализовать Банк России. Острую тему обсуждают многие бизнес-СМИ, привлекая экспертов. Много ли это десять лет или мало? Справедливо ли такое наказание или нет? Насколько повлияет само наказание или даже грядущая возможность этого наказания на реальное положение дел с утечками?
А воз и ныне там
Конечно, огромные утечки персональных данных очень здорово раздражают всех: и правоохранительные органы, и банки, и, главное, граждан, которые жалуются, что им постоянно звонят «социальные» инженеры и похожие злоумышленники, которые знают буквально о них всё. Ясно, что перекрыть канал утечек, не допускать их впредь всем хочется, причём, не только у нас. Весомый штраф за утечки работает в ЕС — как свод законов GDPR. «Легкая» форма наказания только за то, что компания не известила о факте утечки, предусматривает штраф в 2% оборота организации за предыдущий финансовый год, но не более 10 млн евро. При более серьёзных нарушениях размер штрафа может составлять до 20 млн евро или до 4% от оборота за предыдущий финансовый год, в зависимости от того, что больше.
Есть уже и «серьёзно пострадавшие» от жёстких мер GDPR. Среди самых крупных — популярная международная социальная сеть с суммой штрафа в 1,2 млрд евро за трансфер данных в США и компания Amazon, со штрафом в сумме 746 млн евро за адресную рекламу без согласия пользователей. Похожую на GDPR норму предлагают ввести и наши депутаты — возможно, грядущей осенью норма приобретёт статус законопроекта (имеются в виду штрафные отчисления от оборота в 3-4%). Как повлияет штрафы на утечки? Ответ, по крайней мере, у юристов уже готов — штрафы возможны, но только если удастся доказать факт утечки и вину организации, её допустившей.
Штраф как продукт непротивления сторон
Ясно, что организации будут всячески открещиваться от своих утечек ПДн и вряд ли можно представить тех, кто добровольно о фактах утечек будет сообщать — даже если за добровольное признание будут давать скидку. Поэтому штрафов, на самом деле, будет немного — банковские юристы не зря свой хлеб едят. Когда штрафы будут начислены, усиления финансирования мер ИБ в конкретной компании, увы, ожидать тоже вряд ли следует — прямой связи между уровнем финансирования и утечками на самом деле нет. Возможности ибэшника банка (которого и собираются наказывать) тоже на самом деле ограничены, а решение проблемы утечек как комплекса работ лежит скорее в области ИТ-архитектуры и администрирования информационной системы компании в целом, а не только в сфере активности службы ИБ.
Очевидно пока одно — суммы штрафов, которые, возможно, и выплатит организация, будут явно переложены на пострадавших клиентов — то есть, на нас с вами. И у того же телекома, допустившего утечку, мы поэтому пострадаем дважды — и персональные данные у нас украдут, и за утечку опять-таки мы и заплатим — телеком повысит тарифы, чтобы собрать дополнительные миллиарды в оплату.
Возможно, в происходящем правоохранительным органам тоже надо стать активнее — выявлять и наказывать тех, кто использует незаконно полученные ПДн. Понятно, что до колл-центров «за бугром» дотянуться непросто, но у нас и своих КЦ полно. Кого-то накажут, тогда желающих обзванивать поубавится.
Без вины виноватые
Конечно, за всё то, что произошло в департаменте ИБ, всегда отвечает его руководитель. Но если сотрудник банка украл ПДн (или предоставил доступ к этой базе, будучи в сговоре со злоумышленником), то этот конкретный сотрудник и должен отвечать за кражу — его следует серьёзно наказать, вплоть до УК. Кстати, этот злонамеренный сотрудник чаще представляет подразделение ИТ-службы, а совсем не ИБ-подразделение: кто ещё кроме админа АБС может скачать всю клиентскую базу? Начальника ИБ, конечно, тоже можно за это наказать и снять, но ещё и лишать работы на десять лет как проштрафившегося явно лишнее. Таково мнение банковских юристов — «объективного вменения быть не должно».
Отдельные важные ракурсы новой инициативы вообще не обсуждаются. Например, почему не затронута тема компенсации ущерба самим субъектам ПДн? Ведь и список пострадавших имеется, и пострадают конкретно именно они — те, у кого украли ПДн — риски атак социнженеров для них явно возрастут.
Ясности в самом главном вопросе — как новая инициатива повлияет на утечки — тоже, увы, нет. Хотя очевидные следствия уже ясны — зарплата у директоров компаний по ИБ возрастёт. Ну, или при найме появятся миллионные «золотые парашюты» для них — чтобы безбедно прожить лет пять без работы. Всё потому, что резко возрастут риски пребывания, а, точнее, потери должности главного по ИБ. От непредсказуемых утечек застраховаться невозможно, поэтому никто не захочет становиться их главной жертвой — сакральной жертвой ИБ.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных