24.05.2024 - Борьба с течением: как за рубежом регулируют сферу кибербезопасности

В России за последнее время увеличилось количество кибератак на IT-компании: так, в 2023 году их число выросло в четыре раза. Бизнес стремится защитить свои данные и предотвратить утечки, однако регулярно появляются новые угрозы, а атаки становятся все более изощренными и сложными. Как показал недавний опрос «Лаборатории Касперского», многие российские компании убеждены в том, что для всесторонней защиты необходим комплексный подход. Речь идет не только о технических средствах и обучении сотрудников, но и о регулировании всей сферы информационной безопасности (ИБ). В нашей стране комплексное регулирование пока не разработано, и в этом контексте интересно обратиться к опыту других стран, которые уже работают с утечками на системном уровне, считает директор по стратегическим проектам Ассоциации больших данных и Института исследований интернета Ирина Левова

Чужой опыт — тоже опыт

Во многих государствах регулирование цифровой безопасности основывается на системе обязательных требований и стандартов, которые должны соблюдать компании при разработке систем защиты данных. Например, в Китае они достаточно подробно прописаны и закреплены на законодательном уровне. Как правило, требования касаются порядка хранения, шифрования и обработки информации — компании могут получить штраф не за сам факт утечки, а за несоблюдение принятых стандартов. В некоторых странах регулирование разрабатывается отдельно для каждого региона. В США, например, индивидуально под каждый штат, но есть единое требование для всех — компании обязаны сообщать об утечках, затронувших чувствительные идентификаторы, который оговорены законом. Именно нераскрытие информации становится основанием для возникновения административной и гражданско-правовой ответственности. Например, Uber оштрафовали на $148 млн, так как компания не рассказала об утечке данных 57 млн пользователей, хотя по закону она обязана была это сделать.

Тем не менее сумма штрафов не бесконечна. С одной стороны, они должны быть ощутимыми для компании с целью не допускать утечек в принципе, а с другой — не подрывать ее деятельность и давать возможность выделять бюджеты на совершенствование систем защиты. В некоторых штатах США установлены верхние границы штрафов за несообщение об утечке: так, максимальная сумма для компании в округе Колумбия может составить $100 000, а в Калифорнии — $250 000.

Довольно широко распространена практика сотрудничества компаний и государственных органов при утечках данных. Это помогает оперативнее устранять последствия утечек, а в некоторых случаях открытость компаний к сотрудничеству может стать смягчающим обстоятельством при определении наказания. Сети отелей Marriott именно благодаря активному содействию расследованию, оперативному оповещению регулятора и клиентов об утечке и усилению мер безопасности удалось снизить сумму штрафа в пять раз, до $24 млн.

Казнить нельзя помиловать

В России в связи с ростом числа кибератак вопрос регулирования ИБ становится все более острым. На данный момент власти сосредоточены не столько на комплексном регулировании, сколько на достаточно жестких мерах ответственности — оборотных штрафах для бизнеса и уголовной ответственности для физических лиц. Такой подход может привести к ряду последствий.

Так, ужесточение штрафов за утечки до 3% от оборота вынудит компании на время снизить расходы на обучение сотрудников и вложения в ИБ в целом. Это приведет к ровно противоположному изначальной задаче эффекту: компания станет более уязвимой, а вероятность повторной утечки повысится. Непрозрачные формулировки о наступлении личной ответственности (в том числе уголовной) влекут за собой и другое возможное последствие — потенциальный отток IТ-специалистов, которые не захотят работать в условиях риска безвиновного наказания.

Споры в отрасли вызывает и предложение о выплатах компенсаций части пострадавших пользователей — участники рынка считают, что механизм по умолчанию выглядит несправедливым, и он будет дублировать имеющиеся практики, так как в России уже есть способы возмещения ущерба от утечек через суд. Наконец, его будет крайне сложно администрировать. Кроме того, инициатива может создать предпосылки для развития потребительского экстремизма в виде злоупотребления правом на компенсации, а также угрозы мошенничества в отношении пользователей в интернете. Эксперты отмечают, что в мире практики массовой досудебной компенсации не применяются в принципе — все решается в судебном порядке, как и в России.

В целом, международный опыт регулирования всегда основывается на непрерывном диалоге регулятора с отраслью — это можно взять на вооружение и российским законотворцам. Комплексный подход поможет разработать регулирование, которое позволит соблюсти интересы всех. Тем более, что компании и так максимально заинтересованы в том, чтобы развивать системы кибербезопасности: они уже сейчас тратят на это почти 20% от общего IT-бюджета, а к 2025 году планируют увеличить расходы еще на 14%.

Постоянный адрес материала - Борьба с течением: как за рубежом регулируют сферу кибербезопасности