Владимир Путин подписал законы об ужесточении ответственности за утечки персональных данных 😳
Вплоть до уголовной.
- Документы опубликованы на портале правовой информации. Первый предусматривает изменения в КоАП, второй — в Уголовной кодекс.
- Если утечка затронула от 1000 до 10 тысяч граждан, а действия оператора «не содержат признаков уголовно наказуемого деяния», штраф будет административным и составит 100-200 тысяч рублей для физлиц, от 200 тысяч до 400 тысяч для должностных лиц и 3-5 млн рублей для юрлиц.
- За утечку данных до 100 тысяч пользователей взыщут 200-300 тысяч, 300-500 тысяч и 5-10 млн рублей соответственно. Если «утекли» данные более 100 тысяч граждан, физлицам грозит штраф в размере 400 тысяч рублей, должностным лицам — 600 тысяч рублей, а юрлицам — 15 млн рублей.
- За повторное нарушение, если пострадали не менее 1000 человек, штраф для физлиц составит 600 тысяч рублей, а для должностных — 1,2 млн. Для юрлиц штраф будет оборотным — 1-3% совокупной выручки от реализации всех товаров и услуг за календарный год, предшествующий дате нарушения. Для компаний, ежегодные расходы на обеспечение информационной безопасности которых составляют не менее 1% годовой выручки, максимальный штраф составит 50 млн рублей.
- При обработке персональных данных без согласия всем трём группам операторов будут грозить штрафы в размере 10-15 тысяч рублей, 50-100 тысяч или 150-300 тысяч рублей соответственно. За повторное нарушение придётся заплатить 15-30 тысяч, 100-200 тысяч или 300-500 тысяч рублей.
- Если утекли данные несовершеннолетних или биометрические, грозит штраф до 700 тысяч либо в размере дохода осужденного за два года, либо принудительные работы на срок до пяти лет или лишение свободы на тот же срок.
- Если утечка произошла в корыстных целях, с причинением крупного ущерба, группой лиц по предварительному сговору или с использованием служебного положения, грозит штраф в 1 млн рублей либо в размере дохода за три года, либо принудительные работы на срок до пяти лет или лишение свободы на срок до шести лет.
Резюмируя - хватит бороться с мошенничеством теми же способами, что и ранее, лишь совершенствуя информационную безопасность новыми надстройками системы.
1. Хакеры всегда смогут обойти любое СЗИ, вопрос времени и человеческого фактора.
2. Недобросовестные компании всегда смогут обойти закон, в угоду сиюминутной прибыли, пора уже понять, что законы априори несовершенны, их принимают люди, всего лишь люди, и никакими штрафами тут не решить проблему.
3. Пора менять в корне подход к хранению, передаче данных и их идентификации, здесь нужен Game Changer на 180 градусов.
Почему этого до сих пор не внедрили? Ведь решение уже есть и оно довольно простое, и не требующее "космических" затрат, сравнительно с классикой ИБ. Решение, в котором заинтересованы все, от пользователя, до бизнеса, кроме тех "бизнесов", которые зарабатывают на персональных данных, но и им придется подчиниться прогрессу.