Компании, занимающиеся кибербезопасностью, выражают обеспокоенность тем, что их сотрудники могут быть привлечены к уголовной ответственности за незаконный оборот персональных данных. В отрасли считают, что необходимо уточнить положения Уголовного кодекса.
Принятые в конце ноября поправки в УК, направленные на борьбу с утечками персональных данных, могут негативно отразиться на рынке кибербезопасности. Новые положения УК предусматривают наказание для тех, кто получает доступ к похищенным данным в интернете, но такие действия ежедневно выполняют специалисты по расследованию инцидентов в сфере кибербезопасности. Они анализируют утечки, исследуют метаданные и образцы данных, чтобы определить характер и объем утечек.
«Сейчас экспертное сообщество активно работает с законодателями, чтобы разрешить эту правовую коллизию. Вариантов решения несколько: возможно, это будут определенного вида лицензии на право заниматься киберрасследованиями, по аналогии с «белыми хакерами».
Рустэм Хайретдинов, заместитель гендиректора ГК «Гарда»
Во время второго чтения законопроекта с поправками предлагались исключения для компаний, занимающихся легитимным анализом похищенных данных, но они не были включены в окончательную версию закона.
«В результате ряд компаний, осуществлявших анализ утечек в даркнете, приостановили свою деятельность в этой области. Одним из решений проблемы могло бы стать введение исключений для организаций с лицензиями Федеральной службы по техническому и экспортному контролю (ФСТЭК), которые занимаются мониторингом информационной безопасности».
Александр Метальников, эксперт направления безопасности промышленных предприятий компании Infosecurity (ГК Softline)
Главный эксперт «Лаборатории Касперского» Сергей Голованов отметил, что не только злоумышленники, но и эксперты по информационной безопасности анализируют объявления с утечками данных в даркнете и теневых телеграм-каналах, и уведомляют о них пострадавших клиентов.
«Сейчас отрасль опасается, что такие действия могут попасть под действие УК. Важно, чтобы была предусмотрена возможность продолжить официально оказывать такие услуги. Например, чтобы регулятор выдавал разрешение на подобную работу».
Сергей Голованов, главный эксперт «Лаборатории Касперского»
30 ноября президент России Владимир Путин подписал закон о поправках в Уголовный кодекс. Они вводят наказания за незаконный сбор и передачу персональных данных россиян, за исключением обработки данных для личных нужд, а также за создание сайтов для незаконного оборота данных.
По словам заместителя председателя Совета по развитию цифровой экономики при Совете Федерации Артема Шейкина цель нового закона — не ограничить законную деятельность специалистов в области кибербезопасности, а пресечь злоумышленное использование данных. Преступлением, по его словам, будет считаться незаконный оборот компьютерной информации, которая получена незаконным путем и содержит персональные данные.
«Мы готовы рассматривать предложения отрасли, если практика применения закона потребует дополнительного обсуждения».
Артем Шейкин, заместитель председателя Совета по развитию цифровой экономики при Совете Федерации
Представитель Минцифры сообщил, что уголовная ответственность за незаконный сбор и передачу персональных данных россиян, а также за создание сайтов для их незаконного оборота предусмотрена только для мошенников. По его словам, речь не идет о добросовестных гражданах и специалистах в области информационной безопасности — это одна из инициатив, входящих в комплекс мер по снижению и предупреждению случаев кибермошенничества. Сейчас Минцифры обсуждает этот вопрос с представителями индустрии и силовым блоком.