Принятые в конце ноября поправки в Уголовный кодекс России, направленные на борьбу с утечками персональных данных, вызвали опасения среди специалистов по информационной безопасности. Многие участники рынка считают, что нововведения могут негативно сказаться на функционировании отрасли кибербезопасности.
Рустэм Хайретдинов, заместитель генерального директора ГК «Гарда», пояснил, что новые положения УК предусматривают наказание для тех, кто получает доступ к похищенным данным в интернете. Однако подобные действия ежедневно выполняются специалистами по расследованию инцидентов в сфере кибербезопасности, которые анализируют утечки, исследуют метаданные и образцы данных, чтобы определить характер и объем утечек. В настоящее время эксперты работают с законодателями, пытаясь разрешить эту правовую коллизию. Одним из возможных решений может стать введение специальных лицензий для специалистов, занимающихся киберрасследованиями, аналогичных лицензиям для «белых хакеров».
Александр Метальников, эксперт по безопасности промышленных предприятий компании Infosecurity (ГК Softline), подтвердил, что в профессиональной среде действительно обсуждают такие вопросы, однако законодатели пока не участвуют в этих дискуссиях. Он напомнил, что еще на стадии второго чтения законопроекта предлагалось сделать исключения для компаний, занимающихся легитимным анализом похищенных данных, но в окончательную версию закона такие оговорки не попали. В результате несколько компаний приостановили свою деятельность в этой области.
Сергей Голованов, главный эксперт «Лаборатории Касперского», отметил, что не только злоумышленники могут исследовать информацию в даркнете или теневых телеграм-каналах, где часто публикуются украденные базы данных. Эксперты по информационной безопасности также анализируют такие утечки и уведомляют пострадавших клиентов. Однако отрасль опасается, что такие действия могут попасть под действие новых поправок. Голованов подчеркнул, что важно предусмотреть возможность продолжить официальное предоставление таких услуг, возможно, через регуляторное разрешение.
Ольга Трофимова, руководитель направления консалтинга в «К2 Кибербезопасность», также выразила опасения, что действия специалистов по информационной безопасности могут быть квалифицированы как неправомерный доступ к персональным данным, что приведет к уголовной ответственности. Это особенно касается ситуаций, когда компании получают доступ к данным клиентов без подписания необходимых договоров, регулирующих обработку и защиту персональной информации.
Алексей Лукацкий, бизнес-консультант по информационной безопасности компании Positive Technologies, отметил, что новая статья УК может охватывать не только незаконную обработку утекших персональных данных, но и другие нарушения, такие как передача данных без согласия или неверное оформление согласия на обработку. Ранее такие нарушения рассматривались как административные, но теперь могут быть квалифицированы как уголовные преступления.
Тем не менее, власти заверяют, что цель новых поправок — не ограничить законную деятельность специалистов в области кибербезопасности, а пресечь злоумышленное использование данных. Артем Шейкин, член Совета Федерации, подчеркнул, что закон не будет касаться специалистов по расследованию киберинцидентов, если они действуют в рамках договора с заказчиком и соблюдают законы. Он добавил, что законодательство готово к дальнейшему обсуждению и внесению изменений в случае необходимости.
Сергей Боярский, глава комитета по информационной политике Госдумы, сообщил, что в комитет не поступали предложения о внесении поправок в УК относительно ответственности за нарушение законодательства о персональных данных. По его словам, защита персональных данных, особенно биометрических, является приоритетной задачей для комитета.
Ранее Минцифры заявили, что уголовная ответственность за незаконный сбор и передачу персональных данных будет касаться только мошенников, которые осуществляют доступ и распространяют утекшие данные. Это является частью комплексных мер по борьбе с кибермошенничеством.