Александр Хинштейн

⚡️Возмещение ущерба за утечки не должно стать лазейкой для компаний-нарушителей  

Вчера стало известно, что несколько миллионов (!) персональных данных россиян снова оказались в Сети — злоумышленники выложили в открытый доступ данные клиентов «Ашан», «Твой дом» и Gloria Jeans.

Хакеры ведут себя дерзко — те же анонимы уже «сливали» данные россиян из других компаний, теперь еще грозят опубликовать информацию из баз данных еще 12 крупных компаний. Вектор борьбы со злоумышленниками очевиден: Минцифры вместе с ИТ-комитетом и сенаторами разрабатывают законопроект об уголовном наказании за использование утечек. Киберпреступники — это прежде всего преступники, со всем вытекающими последствиями.

❗️С компаниями, которые, безусловно, несут ответственность за масштабные утечки из собственных баз данных, — проблема сложнее. Государство последовательно наводит порядок в этой сфере, вместе с бизнесом был доработан законопроект об уведомлении компаниями Роскомнадзора об утечках, введен запрет на принудительный сбор биометрии. 

✍️Сейчас в Минцифре обсуждается инициатива, согласно которой, оператор, допустивший утечку персданных, получит минимальный размер оборотного штрафа, если компенсирует ущерб большинству пострадавших. Даже во внесудебном порядке, ведь гражданину предложат оставить заявку на Госуслугах.

На фоне растущей волны утечек персданных такую инициативу стоит воспринимать крайне осторожно — не будет ли компаниям дешевле откупаться мизерными компенсациями, чем усиливать внутреннюю систему информационной безопасности?
Как справедливо оценить ущерб, нанесенный конкретному гражданину утечкой?
Не станет ли механизм компенсаций лазейкой для недобросовестных операторов?

➡️В будущем законопроекте об оборотных штрафах — достаточно компромиссных моментов, которые выработаны вместе с отраслью. Например, предусматривается, что ответственность налагается на оператора после повторного инцидента с персданными, учитываться в решении будут и смягчающие обстоятельства, например, что компания за 24 часа после выявления утечки обратилась в Роскомнадзор. 

www.group-telegram.com/it/Hinshtein.com/3958

35.7K viewsedited  Jun 7, 2023 at 09:19

⚡️Возмещение ущерба за утечки не должно стать лазейкой для компаний-нарушителей  

Вчера стало известно, что несколько миллионов (!) персональных данных россиян снова оказались в Сети — злоумышленники выложили в открытый доступ данные клиентов «Ашан», «Твой дом» и Gloria Jeans.

Хакеры ведут себя дерзко — те же анонимы уже «сливали» данные россиян из других компаний, теперь еще грозят опубликовать информацию из баз данных еще 12 крупных компаний. Вектор борьбы со злоумышленниками очевиден: Минцифры вместе с ИТ-комитетом и сенаторами разрабатывают законопроект об уголовном наказании за использование утечек. Киберпреступники — это прежде всего преступники, со всем вытекающими последствиями.

❗️С компаниями, которые, безусловно, несут ответственность за масштабные утечки из собственных баз данных, — проблема сложнее. Государство последовательно наводит порядок в этой сфере, вместе с бизнесом был доработан законопроект об уведомлении компаниями Роскомнадзора об утечках, введен запрет на принудительный сбор биометрии. 

✍️Сейчас в Минцифре обсуждается инициатива, согласно которой, оператор, допустивший утечку персданных, получит минимальный размер оборотного штрафа, если компенсирует ущерб большинству пострадавших. Даже во внесудебном порядке, ведь гражданину предложат оставить заявку на Госуслугах.

На фоне растущей волны утечек персданных такую инициативу стоит воспринимать крайне осторожно — не будет ли компаниям дешевле откупаться мизерными компенсациями, чем усиливать внутреннюю систему информационной безопасности?
Как справедливо оценить ущерб, нанесенный конкретному гражданину утечкой?
Не станет ли механизм компенсаций лазейкой для недобросовестных операторов?

➡️В будущем законопроекте об оборотных штрафах — достаточно компромиссных моментов, которые выработаны вместе с отраслью. Например, предусматривается, что ответственность налагается на оператора после повторного инцидента с персданными, учитываться в решении будут и смягчающие обстоятельства, например, что компания за 24 часа после выявления утечки обратилась в Роскомнадзор. 

BY Александр Хинштейн