Осуществится ли переход от комплаенса к реальной кибербезопасности из-за больших штрафов?

В последние несколько лет наблюдается устойчивая тенденция к увеличению штрафов за нарушения в сфере информационной безопасности.

Примечательно, что идея оборотных штрафов за нарушения в процессах обработки персональных данных уже была представлена ранее в другом документе – Общем регламенте по защите данных (GDPR). В худшем случае с компании потребуют оплатить штраф, составляющий 4% от её выручки.

В чем причина ужесточения штрафов? Основная – в том, утечек стало слишком много, а существующие меры нематериального убеждения недостаточны. Актуальная нормативная база устанавливает требования к защите информации – персональным данным, платежным данным и так далее – и обязывает различные организации выполнять их. Правила простые: обрабатываешь ПДн – защищай их, как этого требует 152-ФЗ, обрабатываешь клиентские платежи – соответствуй требованиям Положения Банка России 719-П. Но какова ответственность за невыполнение?

В настоящий момент максимальный штраф за утечки персональных данных для юридических лиц составляет 500 000 рублей. Сама формула его расчета для каждого конкретного случая меняется. Некоторое время назад общественность всколыхнул смехотворный штраф в 60 000 рублей, назначенный за утечку данных из сервиса «Яндекс.Еда». Вместе с тем масштаб инцидента впечатляет: по разным оценкам, в сеть утекли данные до 800 000 субъектов, работников и клиентов.

В другом сервисе доставки еды – Delivery Club – также произошла масштабная утечка данных, оцениваемая по верхней границе в один миллион уникальных субъектов.

Вот еще пара крупных кейсов. В 2021 году утекли данные клиентов компании Oriflame (полтора миллиона экземпляров паспортных данных) – в итоге штраф составил 30 000 рублей. В результате инцидента с ОФД «Дримкас» в открытый доступ попали 14 миллионов записей, был наложен штраф в 75 000 рублей.

Почему такие суммы? Основным источником для начисления штрафов организациям финансового сектора является статья 19.5 КоАП РФ. Для того, чтобы получить их, организациям достаточно не выполнить вовремя предписание Банка России об устранении выявленных нарушений. Штраф для юридического лица может составить до 700 000 рублей.

Существующая информация за предыдущие годы, выраженная в количестве утечек и пострадавших от них, оказывается малоинформативной. Так, данные аналитиков свидетельствуют о снижении обоих ключевых показателей в 2020 году, но является ли эта ситуация частью долгосрочной и устойчивой тенденции? Опыт 2021 года показывает увеличение количества утечек сразу на 68 процентов относительно 2020 года, так что снижение количества утечек может быть простым совпадением.

Устойчивый рост показывает только количество совершаемых компьютерных атак, а утечки являются уже их последствием. Каждая реализованная атака – это потенциальная утечка, так что сократить количество утечек можно, уменьшив количество атак, совершаемых в критичной инфраструктуре.

Если не получается убедить организации выполнять требования по защите информации, кажется разумным ужесточить ответственность за их нарушение. Уже прорабатывается вопрос о введении персональной ответственности для работников за произошедшие инциденты безопасности. Уголовная ответственность за утечки персональных данных, повлекшие негативные последствия для физических лиц, уже реализована.

Конечно, всё ещё существуют варианты формального выполнения требований нормативной базы, хоть их количество постепенно сокращается. Грубо говоря, настройка системы мониторинга инцидентов в полном соответствии с 6 процессом ГОСТ 57580 ещё не гарантирует, что мимо неё пройдёт какое-либо событие безопасности, которое относится к реальному инциденту. Многое отдаётся на откуп штатным специалистам из подразделений ИТ, ИБ и внутреннего контроля – они должны и правильно настроить, и проконтролировать, что всё работает так, как нужно.

В сложившейся ситуации может быть эффективным установление минимального необходимого опыта для работы с защитой критичной информации. Однако, это может негативно отразиться на рынке труда, особенно для молодых специалистов, да и опыт работы может быть разный. Так, сотрудник может три года в одной организации периодически запускать сканер уязвимостей без дополнительной настройки. Формально у него будет хороший опыт работы по профилю, но такие специалисты никак не помогут снизить количество инцидентов.

Альтернативным вариантом может быть создание независимой сертификации специалистов по информационной безопасности в нескольких вариантах. Так будут проверяться реальные компетенции специалистов, например, по управлению доступом, по настройке защитных механизмов в виртуальной инфраструктуре и так далее.

Ещё одной стратегией может служить усиление контроля за реализацией требований со стороны регулирующих органов. Допустим, если увеличить частоту проверок и их глубину, можно ожидать повышения качества технической защиты информации. В этом случае контрольными мероприятиями будет крайне тяжело охватить все аспекты безопасности – например, внутреннее обучение сотрудников или процессы совершенствования систем защиты информации.

Помогут ли для повышения уровня защиты информации только штрафы? Скорее всего, нет, поскольку существующая нормативная база допускает возможность их сокращения до минимально возможного уровня при условии соответствия формальным требованиям. А вот в условиях дополнительного контроля и повышенного внимания к квалификации и компетентности специалистов ситуация может измениться к лучшему.

Как и вообще в ИБ, решая проблемы недостаточной мотивации коммерческих организаций при построении своих систем защиты информации в частности, важен комплексный подход. Увеличение штрафов может как сказаться положительно на ситуации, так и сконцентрировать усилия организаций на уходе от санкций и сокрытии фактов реализованных инцидентов.

Очевидно, что идеального рецепта не существует, но в условиях ограниченных ресурсов и времени следует выяснить причины, из-за которых случаются инциденты, и работать в направлении их устранения. Если окажется, что утечки происходят из-за того, что руководство уделяет недостаточно внимания вопросам ИБ, нужны меры воздействия именно на руководство, и штрафы лишь один из множества доступных вариантов.