В заложниках у закона: как борьба с утечками данных становится преступлением

Доработанный ко второму чтению законопроект о введении уголовной ответственности за оборот украденных персональных данных затрагивает работу профильных специалистов по кибербезопасности. В письме участников рынка ( есть у «Коммерсанта» ), представляющих более 15 компаний, направленном 22 ноября в комитеты Госдумы по информационным технологиям, государственному строительству и законодательству, указано, что проект «не предусматривает исключений для компаний, занимающихся защитой инфраструктуры от атак и расследованием утечек данных».

Законопроект, внесённый в Госдуму в конце 2023 года, предусматривает поправки в Уголовный кодекс РФ, устанавливающие ответственность за незаконные сбор, хранение и оборот персональных данных граждан. Исходя из обновленной версии проекта, уголовно наказуемо, в частности, создание ресурсов (сайт, IT-система, программа) для незаконных хранения и передачи информации, содержащей персональные данные, полученные незаконно. Максимальное наказание за подобные нарушения предусматривает лишение свободы на срок до пяти лет, штрафы до 700 тысяч рублей и иные ограничения.

Участники рынка отмечают, что ужесточение ответственности за незаконный оборот данных может сократить количество ресурсов, занимающихся таким оборотом, однако не гарантирует полную их ликвидацию. Они подчёркивают, что «злоумышленники не лишатся доступа к инструментам проникновения в организации».

В обращении предлагается ко второму чтению закрепить в проекте условия, исключающие уголовную ответственность в таких случаях, в том числе за расследование утечек. Авторы считают необходимым сохранить возможность анализа украденных данных для компаний, которые «противодействуют преступникам».

Эксперты подчёркивают, что важно усилить борьбу с распространением утечек данных в даркнете и мессенджерах, так как это остаётся одной из ключевых угроз информационной безопасности. Вместе с тем они отмечают, что специалисты по кибербезопасности занимаются сбором данных об утечках, анализом объявлений и уведомлением пострадавших клиентов, что требует правового регулирования и защиты таких действий.

По мнению специалистов, в законопроекте необходимо предусмотреть возможность официального выполнения этих функций, например, через получение разрешений от регуляторов. Они также считают, что анализ украденных данных и мониторинг каналов их распространения являются неотъемлемой частью противодействия преступникам.

Эксперты обращают внимание на необходимость закрепить в законодательстве виды деятельности, условия и критерии, позволяющие законно работать с утёкшими базами персональных данных. Это особенно важно для компаний, специализирующихся на защите малого и среднего бизнеса, где минимизация рисков кибератак становится критической задачей.

Кроме того, участники рынка предупреждают, что без чётко прописанных полномочий и ответственности ИБ-компаний часть их услуг может выйти за пределы правового поля. В случае принятия законопроекта в текущем виде, считают эксперты, компании могут столкнуться с запретом отдельных направлений своей работы, включая поиск следов компрометации на хакерских форумах, что создаст дополнительные риски для безопасности данных.