Системы обеспечения информационной безопасности российских компаний оказались не готовы к принятию законопроекта о введении оборотных штрафов за утечки персональных данных. Лишь 10% организаций обеспечивают базовый уровень безопасности, в 39% он оценивается как низкий, в 51% организаций - катастрофический.
Неделя кибербезопасности в Госдуме РФ. На фото (слева направо): председатель ИТ-комитета Госдумы РФ Александр Хинштейн, генеральный директор Angara Security Сергей Шерстобитов, первый заместитель директора ФСТЭК России Виталий Лютиков
Уровень систем обеспечения информационной безопасности (ИБ) в организациях и законопроект о введении оборотных штрафов за утечки персональных данных обсудили представители федеральных органов власти и российских компаний на неделе кибербезопасности в Госдуме РФ. Участники дискуссии сошлись во мнении, что российские организации в подавляющем большинстве не готовы к принятию законопроекта из-за низкого уровня систем обеспечения безопасности.
"Проблематику защиты данных нужно рассматривать с трех сторон: со стороны граждан, государства и бизнеса. Как гражданин я поддерживаю закон об усилении ответственности. Но как представитель компании могу сказать, что мы к этому не готовы. Инциденты, которые происходили с начала СВО, показывают, что даже у крупных компаний случаются неприятности. И даже если компания потратит 100% бюджета, это все равно будет меньше, чем у атакующих. Бороться с ними бюджетом не вариант, так как у них стоит задача нанести имиджевый и репутационный ущерб Российской Федерации и ее гражданам, на что тратятся огромные деньги", - рассказал вице-президент по информационной безопасности ПАО "ВымпелКом" (бренд "Билайн") Алексей Волков.
Также Алексей Волков отметил, что невозможно в короткие сроки подготовить системы обеспечения безопасности: "У всех компаний бюджет уже сформирован. Если с 1 января 2025 г. вступят в силу оборотные штрафы, то найти дополнительные деньги будет непросто. Скорее всего, компании будут готовы к этому только в 2026 г. Даже если мы найдем средства для реализации мероприятий по обеспечению безопасности, их выполнение не будет быстрым. Безопасность нельзя купить или построить - ее можно только взрастить. Нужно менять организационную культуру, но это требует времени больше чем один год".
Первый заместитель директора ФСТЭК России Виталий Лютиков поддержал принятие законопроекта и отметил низкий уровень готовности систем безопасности в российских компаниях: "Повышение штрафов и введение оборотных штрафов должно привести к переносу от формального выполнения требований к повышению эффективности того, что уже сделано или будет делаться. Организации, которые не готовы к таким законопроектам, сомневаются в эффективности системы обеспечения ИБ. И если специалист по информационной безопасности заявляет об отсутствии готовности, это означает, что он не знает, что происходит в его инфраструктуре, и не уверен в ее эффективности. С конца 2023 г. мы получили полномочия по оценке текущего состояния защиты информации и начали применять методику в 2024 г. Мы применили ее к более чем 100 организациям. Оказалось, что базовый уровень безопасности обеспечивается всего в 10% организаций, в 39% состояние безопасности и защиты информации характеризуется как низкое, а в 51% - катастрофическое. Все, что происходит с точки зрения утечек, случается из-за недостаточной эффективности решений. И обращу внимание, что при этом не было сверхтяжелых векторов атак на инфраструктуру".
Председатель ИТ-комитета Госдумы РФ Александр Хинштейн поднял вопрос, касающийся размеров оборотных штрафов: "Мы как авторы законопроекта считаем, что все санкции, которые в нем заложены, адекватны и, с одной стороны, отвечают реальному времени, с другой - не чрезмерны и не смехотворны. Ключевой вопрос лишь в том, как найти золотую середину, при которой штраф будет адекватным наказанием и стимулом для того, чтобы бизнес вкладывался в развитие ИБ. Во втором чтении мы согласились с позицией Минцифры относительно смягчающих обстоятельств. К ним отнесли три совокупных фактора: объем вложений в ИБ не ниже 0,2% от оборотов в течение трех лет; отсутствие привлечения к административной ответственности по целому ряду составов, связанных с компьютерной ИБ; уровень цифровой зрелости. Для нас важно, чтобы эта норма не стала возможностью для ухода от ответственности".
Генеральный директор ООО "Ангара Секьюрити" (Angara Security) Сергей Шерстобитов считает, что введение оборотных штрафов пойдет на пользу российским организациям: "Основная цель законопроекта - не пополнение бюджета РФ, а создание предпосылок и условий для более энергичного развития ИБ как индустрии, как системы в государственном масштабе. Эта система пронизывает не только крупный бизнес, но уходит и в средний, и в мелкий бизнес, который будто не понимает, что ему это нужно. По моему опыту, один из самых главных факторов, который может сподвигнуть бизнес на изменение парадигмы и восприятия, это наличие штрафов. Причем даже не столько сумма штрафов - хотя она тоже влияет, - сколько их неотвратимость. Если эта механика будет понятной и прозрачной, у нас станет больше шансов на успех".