Мария Фомина, менеджер по развитию бизнеса ITD Group, выразила мнение относительно влияния размеров штрафа за утечку персональных данных на переход от комплаенса к реальной кибербезопасности.  

Одна девочка не любила готовить, поэтому часто заказывала еду в службе доставки. Другая девочка часто ездила в командировки и покупала билеты на сайте-агрегаторе. Третья девочка… А впрочем, какая разница? У всех трёх персональные данные стали достоянием общественности.

Тема утечек ПДн в последнее время бьет рекорды популярности. Особый резонанс вызвало решение суда в отношении сервиса «Яндекс.Еда» о минимальном размере штрафа в 60 000 рублей. С помощью калькулятора можно посчитать, что данные одного пользователя, - его ФИО, номер телефона, номер квартиры, этаж, код от домофона и пр., - были оценены в сумму, меньше 1 копейки. Впечатляет, не правда ли?

И вот новость, попавшая на подготовленную почву общественного мнения: разрабатывается законопроект о введении оборотных штрафов за утечку персональных данных (ПДн) – от 1% до 3%. Этот же законопроект предусматривает персональную ответственность должностных лиц с совершенно реальными финансовыми наказаниями.

Как вы считаете, рынок встрепенулся? Пожалуй, в каком-то смысле, да. Личные и профессиональные блоги экспертов ИБ запестрели мемами и яркими заголовками на эту тему. А дальше-то что? Пока - ничего.

Когда поднимается вопрос защиты ПДн и перехода к «реальной кибербезопасности» в целом, заказчики закатывают глаза и говорят, что комплаенс в рамках ИБ в России до сих пор формируется, а нормативные требования, которые уже есть, подавляющее большинство компаний только осваивает.  

Вообще, что такое комплаенс? Это соответствие нормативно-правовой базе.  Что такое «реальная кибербезопасность»? Это симбиоз соответствия требованиям регулятора и практической потребности в ИБ. Эти две линии - соответствие и потребность - пересекаются. Просто для разных компаний – в разных точках, ведь уровни развития ИБ в них отличаются: где-то есть собственный SOC, а где-то один ИБ-специалист на всю контору.

Очевидно, что сфере российской кибербезопасности предстоит пережить настоящее перерождение. И тому способствует множество факторов: в первую очередь, исход западных вендоров, запрет на иностранное ПО с 2025 года и курс на импортозамещение как способ выжить. 

Если до недавнего времени компании в плане ИБ фокусировались на повышении уровня защищенности, то сейчас они судорожно пытаются просто его удержать. Ключевая задача – заместить «санкционку» и при этом не сломать всю систему. 

Согласно законопроекту о поправках в 152-ФЗ «О персональных данных», намедни принятому Госдумой, теперь все компании, оперирующие ПДн, вынуждены будут играть по новым правилам: не просто оперативно сообщать (24 часа) об утечках и кибератаках в Роскомнадзор и ГосСОПКА соответственно, но и  успевать провести внутреннее расследование (еще + 2 дня, в сумме 72 часа). Чтобы сделать хотя бы шаг навстречу данным требованиям, нужна компетентная команда. И вот тут в полный рост встает вопрос кадров. Ведь кадры, как известно, решают всё. 

На рынке есть два вида специалистов: с дипломами по направлению технической защиты информации и со специализацией по компьютерной безопасности. Первые прекрасно разбираются во всём, что связано с шумогенераторами, фильтрами сети, сканирующими радиоприёмниками и прочими инженерно-техническими средствами, которые можно потрогать руками. Сразу вспоминаются фильмы про шпионов.

Вторые обучены на противодействие кибератакам и прочим угрозам, способным затронуть программно-аппаратный уровень инфраструктуры. Этих специалистов в разы меньше. Некоторое время назад такую специальность получали всего в 3-4 городах России.   

Изменения в законодательство, полившиеся словно из рога изобилия после 24 февраля, подразумевают наличие, по меньшей мере, 500 000 специалистов по компьютерной безопасности. Где их взять в таком количестве? Профессиональная переподготовка или повышение квалификации текущих сотрудников займет несколько месяцев. И это только теория! А ведь еще нужно разобраться непосредственно с системами и моделью угроз конкретного предприятия!  

Пугают ли заказчиков штрафы? Отнюдь. 

Заказчики боятся того, что они останутся без средств защиты. Заказчиков пугают санкции. Заказчики пока что банально не понимают применимость штрафов за утечку ПДн. Есть заботы поважнее.

Была проблема с «железом» – они решили проблему с «железом». Теперь у них проблема с сетевой безопасностью. Их план - решать проблемы по мере поступления. Тема штрафов сейчас вообще не актуальна. 

Подытожим. Переход от комплаенса к реальной кибербезопасности, во-первых, осложняется нехваткой человеческих ресурсов. Нужно время, чтобы получить профессионалов, которые смогут обеспечивать достаточный её уровень.  Во-вторых, проблема, связанная с бесконечной переработкой комплаенса. Ежедневно выходят поправки к множеству законов, появляются новые законопроекты. Как говорил горой фильма «Москва слезам не верит», «стабильности нет».

А что же штрафы? Непонятно, кто будет определять их применимость и размер. Министерство цифровизации? Роскомнадзор? ФСТЭК? ФСБ? Слишком много неясного. А как у нас частенько говорят, - не знаешь, что делать, не делай ничего. Вот все и заняли выжидательную позицию.

Если переход от комплаенса к «реальной безопасности» и случится, то вряд ли драйвером послужат штрафы. Скорее всего, это будут факторы, способные повлиять на существование бизнеса компаний как такового.

 

Ссылка на источник: https://cisoclub.ru/s-vas-vsego-dva-milyona-madam-ili-vliyanie-razmera-shtrafov-na-perehod-ot-komplaensa-k-realnoj-kiberbezopasnosti/