Чем ответят компании при утечках персданных

Эксперты по защите персданных и регуляторы вырабатывают механизм компенсации гражданам при утечках информации

Смогут ли получить пострадавшие от утечек данных граждане денежную компенсацию от компаний или будут довольствоваться бонусами или уничтожением утерянного списка персданных, – решали регуляторы и эксперты в Совете Федерации РФ перед принятием соответствующего закона. Страховщики предложили дифференцировать данные, а общественники ввести субсидиарную ответственность. Насколько от предлагаемых механизмов выиграет обычный гражданин – сказать пока сложно.

Спросить с топов

В ходе круглого стола Комитета СФ по конституционному законодательству и госстроительству, организованного зампредседателем комитета Артемом Шейкиным, эксперты обсудили механизмы компенсации пострадавшим в результате утечки персональных данных.

Сенатор Артем Шейкин назвал одной из ключевых проблем в России – отсутствие механизма компенсации гражданам за утечки их персональных данных. Он подчеркнул, что прорабатывается инициатива по созданию обязательного финансового обеспечения для операторов персональных данных, которое будет использоваться для возмещения ущерба от таких утечек. Это обеспечение может быть реализовано в виде банковской гарантии, договора страхования или специального резервного фонда компании.

Изменения в КоАП и УК РФ направлены на ужесточение наказания при нарушении порядка обработки персданных и незаконное использование ИТ-информации. Кроме того, обсуждается возможность снижения размера административной ответственности для операторов в случае утечек, если они выполняют определенные условия.

Эксперты в ходе встречи перечислили ключевые барьеры и слабые места в как защиты персданных, так и дифференциацию ущерба. Например, генеральный директор АО «Инновационные интеграторы» Иван Клюев крайне негативно оценивает практику, когда специалист, отвечает в организации сразу за информбезопасность, цифровизацию и ИТ-инфраструктуру. Это негативно скажется на объективной оценке рисков, уверен эксперт.

«В Указе президента РФ № 250 и постановлении Правительства РФ № 1272, которые направлены на усиление мер безопасности, не прописаны четкие границы полномочий между отделами информбезопасности и подразделениями, занимающимися ИТ», – сказал Иван Клюев. Он предложил внести изменения в постановление, сделав ИБ-отделы независимыми от иных ИТ-структур.

Заместитель председателя координационного совета негосударственной сферы безопасности России (КС НСБ) Александр Лебедев предложил ввести механизм субсидиарной ответственности для руководителей компаний за ущерб, причиненный гражданам из-за утечек данных и киберрисков. Он отметил, что крупные утечки часто возникают из-за преднамеренных уязвимостей в системах безопасности.

В мировой практике существует механизм привлечения руководства к субсидиарной ответственности, который также есть в России. Это позволяет компаниям сохранять конкурентоспособность без необходимости создания резервных фондов. Примером может служить случай в США, где утечка данных затронула 5,3 млн строк информации. Акционеры обвинили совет директоров в отсутствии стратегии управления киберрисками и инициировали механизм субсидиарной ответственности.

В России практика привлечения членов органов управления к ответственности заложена, но пока не было успешных случаев. Для решения этой проблемы необходимо создать прецедент и объяснить гражданам, как использовать этот механизм. Важно, чтобы ответственность за ущерб не перекладывалась на компании, соблюдающие требования по защите данных, а ложилась на руководителей – тех, кто допустил утечку.

Страхование по строгим лимитам

Директор по аналитике АНО «Цифровая экономика» Карен Казарян обратил внимание на то, что новые механизмы должны стимулировать усиление защиты данных. Он напомнил, что Минцифры предлагало создать общий фонд, но от этой идеи отказались из-за низкой эффективности, поскольку до 50% средств уходит на содержание фонда. Вместо этого обсуждается гарантийный фонд, который закрывает часть средств, с целью повышения информационной безопасности и стимулирования инвестиций в неё.

Карен Казарян также отметил готовность крупных банков включать пункты о субсидиарности поставщиков, хотя такая готовность варьируется в зависимости от размера компании. Он упомянул о коллективных исках, ссылаясь на предписание Совета регуляторов ЕС о необходимости более частого их использования. Суд может упрощенно рассматривать иски регулятора о нарушении прав пользователей.

Карен Казарян считает страхование рисков наиболее эффективным инструментом для защиты, так как требует меньших затрат и позволяет синхронизировать цели всех участников.

Артем Шейкин спросил у Карена Казаряна о сумме компенсаций гражданам за утечки данных. На что тот ответил – сумма должна быть различной и не основываться только на рыночной стоимости утекших датасетов. Важнее учитывать, какой ущерб был причинён конкретному человеку. Например, если человек узнает о утечке своих данных, он может получить минимальную компенсацию, но это не решает проблему. Компенсации могут быть не только денежными, но и связаны с предотвращением последствий утечек, например, очищением данных из даркнета, уверен эксперт.

Подтвердить гипотезу выгоды страхования постарался председатель рабочей группы Всероссийского союза страховщиков (ВСС) по страхованию информационных рисков Владимир Новиков. Он представил новый страховой продукт, который позволит избежать необходимости судебного подтверждения ущерба и оперативно выплачивать компенсации пострадавшим. Так оператор персданных будет выступать в роли страхователя. Утечка данных теперь официально признается страховым случаем, что значительно упрощает процесс получения выплат для граждан. Кроме того, установлен трехмесячный срок для подачи претензий после инцидента, отметил он.

Страховой продукт также включает компенсацию за вред жизни, здоровью и имуществу третьих лиц. На эти выплаты отводится около 20% от общей страховой суммы, которая может достигать 1 млрд рублей. ВСС в договоре страхования предлагает установить агрегированный лимит ответственности. Если пострадавших больше, чем страховая сумма, компенсация будет распределяться по очередности заявлений или с применением понижающего коэффициента.

Роскомнадзор фиксирует утечку данных, и для подтверждения факта ущерба физлицам предлагается использовать сервис, аналогичный Госуслугам. Пострадавшие должны подать заявление о компенсации, которое будет проверяться через национальную страховую информационную систему.

Также предлагается автоматическая выплата фиксированной суммы при утечке данных и юридическое закрепление морального ущерба, основываясь на опыте градостроительного кодекса. Необходимо внести изменения в закон для установления сумм компенсаций и возможности их пересмотра.

Регламентация процесса фиксации и валидации утечек персональных данных — это ключевой момент. Без четких процедур и стандартов сложно будет установить справедливые лимиты компенсаций и обеспечить их выполнение. Также важно, чтобы все три инструмента финансового обеспечения (страхование, банковские гарантии и фонды) были синхронизированы и действовали на основе одинаковых принципов.

Индикативные значения компенсаций, предложенные страховым сообществом, должны быть адаптированы к реальным рискам и объемам обрабатываемых данных. Установление четких лимитов для различных категорий операторов поможет создать более предсказуемую и безопасную среду для обработки персональных данных, считает Владимир Новиков.

Руководитель GR-проектов Ассоциации больших данных (АБД) Марат Тахавиев сообщил, что обсуждаются рекомендации по созданию документа о добровольной внесудебной компенсации за утечки персданных. Это возможно, благодаря существованию в России кодекса этики использования данных, к которому присоединились более 40 компаний. В рамках этого кодекса функционирует Совет, а также ведется белая книга лучших практик.

Страхование — это хороший механизм, однако мы сталкиваемся с определёнными ограничениями, связанными со страховой суммой, отметил генеральный директор «Национальной страховой информационной системы» (НСИС) по страхованию Николай Галушин. Для такой системы текущие лимиты явно недостаточны. Через нее в месяц проходит порядка по 1 млн договоров ОСАГО и КАСКО, и 2 млн договоров страхования жилья граждан. За год около 42 млн страхователей. «Всего же в стране 100 млн водителей и НИС, являясь структурой ЦБ РФ, собирает всю информацию по страхованиям. А это гигантские объемы данных», – говорит Николай Галушин.

Если мы хотим реализовать механизм, который гарантирует защиту персданных граждан, то он должен распространяться как на государственные, так и на негосударственные информсистемы, считает глава НИС. «Кроме того, возникает вопрос о том, что делать в случае, если мы, как информационная система, выполнили все требования регуляторов и стандарты защиты информации, получили аттестат соответствия требованиям Приказа №18, но всё равно подверглись атаке. Не хотелось бы в это верить, но, если такое произойдёт, нам нужно заранее подготовить ответные меры», – заявил Николай Галушин.

«Однако договор страхования пока не заключён, и мы работаем над условиями. Мы не заинтересованы в страховании, которое исключает защиту от DDoS-атак или других подобных угроз», – резюмировал представитель НИС.

Автор: Иван Измайлов

Фото: Совет Федерации РФ