«Ъ»: Минцифры предложило ввести минимальный штраф за утечки данных в 5 млн рублей и максимальный — в 500 млн рублей Статьи редакции
Максимальный штраф придётся платить тем, кто допускает утечку не в первый раз или пытался скрыть инцидент.
- Минцифры решило установить диапазон оборотных штрафов за утечки персональных данных от 5 млн рублей до 500 млн рублей, пишет «Коммерсантъ» со ссылкой на источники.
- Максимальный штраф компания может получить в том случае, если она допустила повторную утечку с момента вступления закона в силу или, например, попыталась скрыть инцидент, объясняет собеседник «Ъ», знакомый с заключительной версией законопроекта.
- Штраф будут рассчитывать от размера выручки компании за календарный год, предшествующий году, в котором выявили утечку. Если законопроект примут, он вступит в силу уже в сентябре 2023 года.
- Введение таких штрафов для бизнеса может привести к «дроблению компаний» — чтобы сократить базу в случае возможных утечек, в том числе по региональным подразделениям или сфере деятельности, считает источник «Ъ» в одной из ИТ-компаний. Например, разделить основной бизнес и сервис доставки еды, чтобы выручка от каждого юрлица была меньше — как и штраф.
- В апреле 2022 года Шадаев говорил, что Минцифры вместе с РКН выступят с инициативой об оборотных штрафах для бизнеса за утечки. 30 мая ведомство согласовало законопроект — это штраф в 1% от годового оборота и до 3% при попытке скрыть инцидент.
- В августе РБК узнало, что сервисы хотят наказывать, если они допустят утечку данных более 10 тысяч человек, а в октябре «Ведомости» сообщили, что компании могут и вовсе не штрафовать — если данные нельзя идентифицировать. При этом ответственными за утечку будут считаться не только компании, но и их руководители. В декабре Минцифры сообщило, что подготовило законопроект — в нём предусматривается возможность уменьшить сумму штрафа.
- Собранные деньги от штрафов ведомство предлагает направить в спецфонд, из которого будут выплачивать компенсации пострадавшим от утечек. Интернет-компании и банки эту инициативу раскритиковали, как и идею выплачивать деньги пострадавшим до суда, чтобы уменьшить сумму штрафа.
«Сетевые свободы»: в 2022 году произошло 60 утечек персональных данных — больше, чем с 2019-го по 2021 год
Статьи редакции
При этом пострадавшим от утечек «крайне трудно» защищаться в судах, а компании штрафуют на незначительные суммы, отмечают исследователи.
0
показов
4.6K
открытий
Успевайте слить данные до сентября 2023 года, пока действует акция
Все сливы по 60 тысяч рублей?)
Считаю что необходимо сделать исключение для Яндекса, Вконтакта, кинотеатров, банков, такси и прочих крупные сервисов. Им сейчас нелегко, пусть продолжают платить 60к за слив 100500 миллионов записей.
А вот мелкие магазины надо по полной драть! Если магазин с кормом для рыбок на кривом шаблоне вордпресса взломают и украдут пару сотен телефонов - пусть сразу платят пол-ярда, чтобы дети и внуки с родственниками до седьмого колена расплачивались всю жизнь!
Whoosh слиты миллионы строк, через месяц они выпускают акции которые упали на 2 день на 20% от начальной стоимости
Гос услуги где-то видел уже продаются по 1-15 рублей, тут вообще не кому и не на кого заявлять, замалчивание
Все сайты и интернет уже взломаны установленным оборудованием, потому что по http провайдер включает свои баннеры в сайты и скрипты, так что ждите сливов и наказаний недоговорившихся между собой по понятиям бизнесменам и бандитам, крышующих провайдеров и прочий бред
Им как раз не проблема уйти от этого закона раздробив бизнес на кучу юнитов, а вот компаниям поменьше придется раздувать штат юристов и бухгалтеров для дробления бизнеса, как и увеличивать вложения в свои It системы для этого.
Ведь реально уменьшить риски утечки практически невозможно, откровенных дыр уже давно ни у кого нет, а вот обезопаситься от собственного разработчика практически нереально.
Если ваша база ещё не в сети?!
Тогда мы идём к вам!
Браво!
Хорошо, все эти деньги ведь пойдут пострадавшим, правда? 🧘
Конечно. Но у разных людей ценность данных разная. Поэтому кому надо пойдут, не волнуйтесь.
А вы же не читатель а писатель,правда?
Держите карман шире. там найдут куда "грамотно" распределить все.
Доказывайте через суд, что вы пострадали и понесли ущерб.
Взламываешь сайт конкурента с базой в 10 человек и всё.
Или регаешь на сайте конкурента 10 человек. Создаешь файл с этими данными и заявляешь слив.
Чет ты чел как нерусский,можно же просто заказать конкурента,к чему эти сложности))
Комментарий недоступен
какая подлость конечно
У тебя не смогут украсть данные, если ты выставишь их в открытый доступ. Пользуйтесь
ой спасибо большое за совет,обязательно его использую
Комментарий недоступен
А вариант что сливать не будут, не рассматривается?
It корпорации не будут по 500 млн платить, ведь зачастую они уже почти государственные все, попросят по свойски РКН забыть про что-то, да и все.
Ну так если решил «развернуть» свой малый бизнес, будь добр обеспечить защиту данных своих клиентов, в противном случае - не собирай и не храни эти данные.
Разделяй и действуй! — новый девиз для сливающих.
Звучит, как "наливай - распивай"
У нас не будут усилять защиту, но будут делать всё, чтобы минимизировать штраф, когда придёт время
В чем глубокий смысл минимальной планки? Убить B2C микробизнесы на корню? Да и для малых/средних бизнесов 5 миллионов - это слишком.
ага ага, спецфонд, только ключик от этого спецфонда будет под ковриком, так что заходите, берите
Штраф так штраф, для кого надо штраф. Для Яндекса будет 500к, для всех остальных 500млн) ой, а остальных то компаний скоро и не будет
Комментарий недоступен
Как вариант, переделаться им в консультантов и внедренцев, а персональные данные будут конкретные чинуши конкретной гос. конторы вести
Будут рисковать под лозунгом "Авось пронесет"
Собранные деньги от штрафов ведомство предлагает направить в спецфонд
спецфонд по набиванию карманов
С какого потолка взяты эти цифры? Для малого бизнеса 5 млн это убийство. Для условного Яндекса 500 млн это пыль, для них слив данных чуть ли не выгодным мероприятием становится.
В каком месте это «выгодное» мероприятие? Изучите для начала стоимость такого рода данных, там и близко цена не приблизится к 500млн₽ штрафа
По сути, есть две главные причины утечек.
Первая - человеческий фактор. То есть когда человек от обиды или желания наживы сливает то, к чему у него есть доступ. Проблема в том, что защита от этого - это полноценная организованная система с отдельными безопасниками, дорогими программными инструментами, регламентами и прочим, что малый бизнес просто не потянет. К тому же, даже это не гарант - так как обидится или бабок захотеть может сам безопасник, который за эту систему отвечает. Я как-то работал в компании у которой обязательным этапом найма было пройти детектор лжи, где в том числе были вопросы о сливах данных. Но даже это в итоге не гарант, так как и это обойти не так чтобы сложно. Еще проблема, что с такой системой часто сама разработка выходит медленнее и дороже, если решаются проблемы, которые завязаны на данные, а данных у тебя нет. Стартапы и малый бизнес такого просто не могут себе позволить.
Вторая причина - банально баги и недосмотр. Я когда кодить начинал, мечтал стать тру хакером и развивался в этой теме. В итоге в 15 лет я почти случайно, методом перебора параметров запроса, получил доступ к паспортным данным нескольких тысяч человек, регистрировавшихся на один фестиваль, включая сканы этих паспортов. Помню как стягивал это все несколько часов на модемном интернете. И проблема была в том что именно при определенном наборе параметров была возможна SQL инъекция. Не помню детали, но помню, что проблема была достаточно неочевидна, то есть винить создателей портала мне было сложно. Я тогда очканул, думал, что прям ща ко мне уже выехали и в итоге не стал с этим ничего делать и о баге написал организаторам. Но в целом - вот слив, возникший просто из-за косяка разработчика, который отследить было не так просто, даже если бы такая цель стояла.
И это я не рассматриваю варианты, когда утечка произошла из-за взлома, при чем это может быть взлом даже не самого портала, а хостинга, например. Но отвечать, по сути, будет компания, хотя ее вина только в том, что она выбрала не тот хостинг и не в то время. Да и в принципе возникает проблема человеческого фактора на стороне хранения данных также, на которую ты вообще повлиять никак не можешь. То есть единственный вариант этого избежать - на старте проекта делать свой дата центр, даже если у тебя 10 клиентов, или как? Бред же.
От самого факта сливов я тоже не в восторге, но грести всех под одну гребенку и применять по дефолту кнут за то, что контролировать в целом проблематично - такая себе перспективая для развития проектов.
Выше написал , что лучше рассматривать и оценивать каждый случай индивидуально, что должен суд делать и специальные эксперты консультанты по инжект безопасности в данном случае. И да, это дорого и затратно, но жизнь человека дороже. Прямо сейчас, со слитых данных обманывают какую-то бабулю, которая отдаст последние средства и будет вынуждена плохо питаться, что негативно скажется на ее имеющихся болезнях . Взрослому человеку позвонит мошенник и введёт в ступор, отвлечет от работы или вождения, а что может сделать маньяк я лучше буду молчать. Будет сидеть какой нибудь урод и 24/7 смотреть через экраны на твою жизнь, переписки, оплаты и счета , будет знать где тебя лучше всего найти и прочие последствия, за которые должен заплатить бизнес и обеспечить безопасность пользователей.
Интересно, как детектор помогает против сливов. Сейчас ты честный и правильный. А завтра, что-нибудь случилось и все
Комментарий недоступен
А с b2b чего? Если взломали наш условный облачный битрикс — кому прилетит?
Как положено друзьям все мы делим пополам 😂👌🏻
500 млн, 5 млн... По итогу ещё пару порядков скинут и сторгуются до 50 тысяч.
И правда слегка
По идее слово оборотный подразумевает процент. Далее, как я понимаю, исходя из процентов от оборота, будут брать не менее 5 млн. и не более 500 млн. Другими словами и исходя из логики статьи на 50-60 тыс. договорится не должно получаться.
что то я не вижу цифры в 60к- непорядок😂😂😂
Как то мало все равно, в прошлом месяце в Ирландии одну очень известную соцсеть на 265 млн. евро штрафанули.
Это бред, штрафы не работают и будут применяться избирательно
Я считаю, что утечки должны рассматриваться в гражданско-правовом поле, когда пострадавшие участники договариваются с компанией мирно или в суде о сумме и условиях компенсации.
Иначе это просто цирк по отъему денег в казну, проблема никак не решается.
а как же штрафы по 60 к?
Штраф будут рассчитывать от размера выручки компании за календарный год, предшествующий году, в котором выявили утечку. Если законопроект примут, он вступит в силу уже в сентябре 2023 года.
Но при этом все равно будет от 5 млн?
Как оператор сайтов, столкнулся с первым взломом много интернет магазина в 2015 году. И ещё тогда понял, что информационная безопасность это не галочка и не мануал, это отрасль. Восстановив бэк ап , я провел необходимые тесты, то есть сам взламывал свой сайт, чтобы понять на сколько его можно взломать - проверял все поля заполнения, все возможные запросы, которые потенциально могут прийти, все модули и компоненты и после тотального аудита и установки доп. защиты сайт не взламывали больше. Так вот к чему я это, к тому что вместо штрафов, нужно рассматривать дела индивидуально и учитывать факты аудита безопасности, качества этого аудита, на сколько все были уверены и сколько мероприятий принято, чтобы защитить пользователей. Условно крупная компания - должна провести максимальные аудиты и иметь сотрудников или небольшой штат, маленькой компании будет достаточно небольшого аудита безопасности за символическую оплату например 20000 руб в год (с учётом роста угроз и обновления защитных механизмов, это очень мало будет)
Налоговую и банки первоочерёдно раком ставить надо за утечки.
Стоит только засветиться с чистым номером, начинается звиздец из звонков от каждого утюга.
На днях с третьей попытки дозвонился настойчивый дибилоид из Тинькофф с предложением открыть бизнес счёт, три раза сучёныш звонил и пытался убедить что мне это надо.
Через 3 минуты после брошенной трубки посыпался смс-бомбинг. Повторю, номер чистый, нигде кроме налоговой при регистрации ИП не засвечен.
Номер урода который настойчиво заёбыв@л услугами Тинкофф банка +7 915 465 74 12 (Там даже автоответчик фирменный стоит)
Здравствуйте.
Ситуация действительно неприятная. Пришлите, пожалуйста, ваш контактный номер нам в личные сообщения. Мы все проверим и исключим его из списка обзваниваемых номеров.
До сентября можно сливать бесплатно. Многие ли подтянутся на аттракцион невиданной щедрости?
С другой стороны — сей чудный закон могут и не принять ведь.
Акцию продлевать не будут походу
Через суд ума не хватает устанавливать штраф в зависимости от степени, последствий, количества пострадавших? Для этого отдельный закон нужен оказывается был? Разве не будет такого, что ФСБ и другие органы, кто потенциально может слить данные пользоваться этим преднамеренно для обогащения? При том что граждане навряд ли будут единично судиться по перс данным, так как это большие издержки, а выплаты пострадавшим тут вообще не подразумевается....
Пострадавший еще должен обьявится,так не будет- сидел Ваня на диване и ему сто тыщ капнуло автоматом что где-то его данные слили
Комментарий удален модератором
Комментарий удален модератором
Единственный способ сделать так, чтобы данные не утекали - это их не собирать.
ждем массовых сливов до начала действия закона. А может и потом, просто будут рассказывать что утечка была на самом деле до, просто всплыла после
Ну вот и всё! В скором будущем это станет космически дорогим удовольствием.
Чтобы не было слива данных, их не нужно собирать кому ни попадя. А то уже остановиться не могут всякие барахолки типа Авито.
Всё в пользу тех, чьи данные утекли
«Малый бизнес, малый бизнес»… Господа, если: собираете, храните и обрабатываете данные ваших же клиентов будьте добры обеспечить и сохранность этих данных! В рф принято кидаться с головой и 2₽ в кармане в «business», а сопутствующие расходы мало кто любит считать. Если нет денег на обеспечение ИБ в своём же «бизнесе», – продавай носки на рынке. Всё просто.