«Чтобы мера с оборотными штрафами была рабочей, должна быть сбалансировано сформирована общая система мер, позволяющая объективно оценить ситуацию, а она довольна разнообразная.
Во-первых, комплекс смягчающих и ужесточающих мер, влияющих на размер штрафа. Во-вторых, прозрачная процедура сбора доказательств, допуска уполномоченных лиц для проведения расследования, и дальнейшее использование владельцем ресурса этой информации в качестве определения состава преступления. В третьих, финансовые источники покрытия расходов на выплаты штрафов. Таким, например, может стать страхование ответственности перед третьими лицами».

Ирина Пантина

Директор департамента по взаимодействию с госсектором Positive Technologies

«Количество утечек остается массовым явлением. Более того сценарии атак и инструменты злоумышленников становятся все более изощренными. Посколько гарантировать абсолютную защиту невозможно, необходимо наращивать уровень защищенности. Ужесточение ответственности не решает задачу сохранности данных, хотя и стимулирует операторов инвестировать в ИБ. Вопрос необходимо рассматривать гораздо шире и комплексно.

Помимо карательных нужны и поддерживающие меры. Если оператор предпринял действия для недопущения утечки и может подтвердить это, он должен рассчитывать на какие-то послабления, например снижение штрафа. Мы предлагали следующую процедуру аудита эффективности в области обеспечения защиты информации для определения смягчающих обстоятельств: оператор проводит проверку сам, а после привлекает независимую ИБ-организацию для подтверждения правильности оценки.

Способствовать снижению числа утечек сможет также механизм обезличивания данных и страхования рисков, как минимум, ответственности операторов перед гражданами, а также понятные методики расследования инцидентов».

Михаил Адоньев

Директор по взаимодействию с органами государственной власти «Ростелеком-Солар»

«Для того, чтобы снизить количество и масштаб утечек персональных данных в России до социально приемлемого уровня, необходимо не только предусмотреть негативную мотивацию для операторов персональных данных в виде штрафных санкций, но и повысить осведомленность операторов в отношении лучших практик защиты персональных данных путем разработки (при поддержке государства) соответствующих общедоступных информационных ресурсов. Также следует отказаться от объективного вменения, то есть от привлечения операторов к ответственности за утечку персональных данных без установления вины в этом самих операторов».

Алексей Мунтян

СЕО компании Privacy Advocates и соучредитель «Сообщества профессионалов в области приватности»

«Необходимо предусмотреть более длительный переходный период перед вступлением новых штрафов, который позволит операторам персональных данных сформировать ответственную политику компании по отношению к сохранности персональных данных, подготовиться к новым требованиям, повысить уровень информационной безопасности и принять все необходимые меры для защиты от утечек.

Считаю, что надо не только поставить задачи перед бизнесом и заставить его сделать финансово-затратные шаги по обеспечению ИБ, а нам, участникам конференции, определиться, как сделать решения в области ИБ доступными не только для корпораций, крупных компаний, предприятий и организаций, но и для среднего и малого бизнеса, а также для индивидуальных предпринимателей. Необходимо выработать оптимальные, взвешенные решения в сфере защиты данных, в том числе в части персональных данных, которые будут одновременно учитывать интересы граждан, бизнеса и государства».

Владимир Маслов

Директор Департамента цифровых технологий Торгово-промышленной палаты Российской Федерации

«Введение института добровольного аудита информационных систем безопасности компаний может стать эффективным инструментом контроля над реальным внедрением и использованием таких систем. Реальное внедрение и возможность контроля над его исполнением позволит повысить уровень безопасности российских операторов данных. При этом, в случае ужесточения ответственности в случае возможных утечек, применение института добровольного аудита может стать смягчающим фактором и гарантией от безвиновной ответственности компаний за утечки».

Александр Мацкевич

Директор департамента по взаимодействию с органами власти ПАО «МТС»

«Идея с оборотными штрафами правильная, так как без данного шага к порядку в сфере ПДН прийти к сожалению не получится. Но при этом данная норма требует значительной доработки. И в первую очередь наверно стоит обратить внимание не на утечки ПДн (потому-что утечки могут быть всегда, даже при выстроенной защите), а именно на реализованные процессы обработки и защиты ПДн. Если посмотреть текущие реалии, то многие вопросами защиты ПДн не занимаются до сих пор, сбор данных зачастую является избыточным. А подобные результаты проверок со стороны регулятора не несут какой-то угрозы для операторов ПДн (в том числе финансовой). Соответственно, необходимо приводить а порядок изначальные вопросы обработки и защиты ПДн, а уже после в том числе оценивать причины утечки ПДн и возможно уже накладывать какие-то санкции».

Александр Хонин

Руководитель отдела консалтинга и аудита Angara Security

«Вопрос утечки персональных данных и усиление их защиты стал особенно чувствительным. Тонкая грань между ответственностью за хранение персональных данных и разумное наказание в случае их утечки, а также усовершенствование законодательного механизма — стали темой нашей сегодняшней дискуссии. Вопросы усиления безопасности, принятия новых добровольных стандартов, страхования кибер-рисков — без их решения, одним лишь усилением ответственности проблему утечек решить невозможно. И, полагаю, в будущем многие из высказанных сегодня идей станут, если не основой для диалога бизнеса и власти, то важными элементами общей нормативной канвы, которая в конечном итоге будет комфортна для всех задействованных сторон».

Карен Казарян

Директор по аналитике АНО «Цифровая экономика»