Минцифры согласилось не вводить штрафы для компаний за первый факт утечки данных пользователей — «Ъ» Статьи редакции
По законопроекту, бизнесу грозил штраф в 1% от годового оборота, а при скрытии информации об утечке — до 3%.
- На обсуждении оборотных штрафов в Минцифры были представители «Ростелекома», МТС, «Авито», «Яндекса», Ozon, «Вымпелкома», VK и других компаний.
- Ведомство согласилось не вводить штрафы за первый выявленный факт утечки и уменьшить штраф до суммы ниже 1% от оборота, рассказали источники «Ъ», которые были на встрече. Размер штрафа ещё обсуждается.
- На встрече компании предложили за первую утечку делать предупреждение, за повторную — крупный штраф, за третью — штраф от оборота, говорит участвовавший в обсуждениях источник. Другой рассказал, что бизнес назвал оборотные штрафы несвоевременными: «В условиях снижения покупательской способности, нарушения цепочек поставок, двузначной инфляции принятие оборотных штрафов ещё больше ухудшит условия для бизнеса».
- Минцифры поручило бизнесу под руководством «Ростелекома» и VK за две недели разработать предложения по поправкам к законопроекту. В министерстве, «Ростелекоме», МТС, «Авито», «Яндексе», Ozon, «Вымпелком» и VK отказались комментировать ситуацию.
- В конце февраля 2022 года произошла утечка данных клиентов СДЭК, а 1 марта «Яндекс.Еда» сообщила об утечке. 28 марта исследователь нашёл в открытом доступе базу данных сервиса доставки еды «2 Берега», а 20 мая Delivery Club рассказал об утечке телефонов и данных о заказах пользователей. В июне исследователи нашли в открытом доступе базу с именами и телефонами клиентов GeekBrains, пользователей «Умного дома» от «Ростелекома» и «Яндекс Практикума».
- В конце мая источники «Коммерсанта» сообщили, что Минцифры согласовало законопроект о наказании за утечки. По нему, нарушителям грозил штраф в 1% от годового оборота, а при попытке скрыть инцидент — до 3%.
0
показов
5.5K
открытий
Продали народ )) Задешево.
Можно подумать, не народ бы потом оплачивал штрафы заложенные в цену...
Тут дело в постановке вопроса. Конечно, проблему можно решить по-разному. Но решать её ТАК, откровенно наплевательски к правам пользователей, лишь бы нивелировать свои факапы...
Штрафы это полное уродство нашей совковой страны, ПД граждан, а деньги получит государство...
Ну почему, во всех развитых странах за это штрафуют. Они же взяли за основу международный опыт (изначально)
В развитых странах компанию можно прилично засудить, а не 10 т.р. морального ущерба, и я также все равно против штрафов в пользу государства даже в развитых странах.
А в РФ компанию прилично засудить нельзя? Емнип, суд с Яндекс Едой уже идет.
Посмотрим чем кончится, обычно больше 10 т.р. за моральный ущерб не получается.
интерес в том что из идеи максимизации дохода и конкуренции закладывание штрафа не будет. Будет закладывание в цену услуг ревизии безопасности, нормальной поддержки(которая на факт дыры не говорит — мы сами лучше знаем(привет СДЭК)).
Стоит отличать налог от штрафа. Поборы плохо - штрафы которые реально можно законно избежать(а не пожарные и прочие проверки) это вполне таки действенный инструмент
В наших реалиях штрафы станут скорее коррупционным механизмом расправы с конкурентами, нет, только судебные иски от пострадавших на приличные деньги.
Иски наши суды больше чем на 10тр очень маловероятно удовлетворят. Как тогда быть?
Коррупцию в штрафе за факт утечки придумать сложно. Это не проверка на безопасность системы, это штраф только за факт свершения.
Вот и я про это, нужно эту хрень про 10 т.р. убирать вместе с государственным рылом в каждой дырке.
Это было бы идеально.
А что делать сейчас? Реальность сейчас позволяет только вот такие штрафы.
У вас вопрос из серии, если сейчас я не могу лечить руку, то надо отрезать ногу. Лучше ничего не делать, чем вбивать очередной гвоздь в крышку гроба нашего IT
Не согласен с аналогией
наличие проблемы и ее последствий требует решения ее.
Если бы компании уделяли безопасности средства и слушали когда им говорят о дырах то всего этого бы не было. Как их заставить думать над этой проблемой?
Вы говорите как дилетант, большие компании тратят на IT безопасность десятки миллиардов, административными мерами сделать больше, чем они сейчас делают нереально, все что они могут, это просто не собирать и не хранить ПД, но это будет удар по всему IT больше, чем любые санкции.
У медиков есть такое правило, что главное не навредить, вот вы предлагаете навредить, лишь бы хоть что-то сделать.
что мешало сдэку закрыть дыру за много лет? через их домены шел спам. С их базы данных почти мгновенно телефон попадал в спам лист. На обращение с явно указанием фактов почему это не случайность они посылали лесом.
На счет дилетанта — я как раз понимаю что дыру найти очень сложно и проще на этапе разработки уделять этому внимание. Тот же Яндекс свою доставку создавал не будучи микрокомпанией а обладая огромными фин возможностями.
СДЕК это скорее исключение из правил, у них IT дырявый уже много лет, точнее его там нет, у них даже маркетплейс на массовом движке состряпан на тяпляп.
А вот утечку с Яндекса боюсь штрафы никак не закроют, там все сделано по максимому и так.
О том и речь. мотивации делать у людей нет. Яндекс - не знаю, они слишком странные чтобы судить что сделано по максимуму, на мой взгляд там дыра была ввиде прокладки между стулом и клавиатурой(это догадка), но такое тоже не должно быть допустимо
Бороться с утечками ПД это борьба с ветряными мельницами, они все равно будут утекать, вопрос лишь в том, будет ли подорожание товаров и услуг или не будет.
я бы не был так категоричен что утечек данных не избежать.
Значит вы далеки от it
несколько лет(~3) серверной разработки однако)
Так и знал, зеленый еще, самоуверенный
хе) с прогой я очень давно, но все то не имеет отношения к базам данных и безопасностью. Конкретно то что касается темы - 3 года.
Делать так чтобы очень сильно усложнить слив данных можно, но это и сильно замедляет разработку и масштабирование.
Когда то на заре докера я долго спорил что его не надо лишний раз использовать если нет прямо жесткой необходимости. Бабло победило, и докер стали использовать ибо с ним быстрее, вместе с этим победила идея свести к минимуму покрытие тестами — а то тоже сильно долго. Как итог - дыры, они есть и фактически к тому я руку приложил.
В какой то момент мне это надоело и я ушел с такого it, мне время и работа головой дороже чем высокая зп и создание говна.
Прога замечательная вещь когда в сроках есть время на осмысление. Но это все разнится с окупаемостью)
Вот-вот, все делать по феншую дорого и долго, да и он не гарантирует что-то, слишком много слоев есть, за которые ты не можешь отвечать, т.е. в реальной жизни, гарантировать отсутствие сливов невозможно, особенно если будет целенаправленная атака с помощью обиженного сотрудника.
В общем то да, сбер(?) не давно поймал такого, но это наверное исключение чем правило.
В целом наверное соглашусь что просто штраф за слив это плохо и нужно каждый случай разбирать. СДЭКу допустим по полной бы стоило, а у Яндекса смотреть. Т.е. фактически это суды с анализом причин — случайность, умышленность(сдэк) или что-то другое