Исключений нет: исследователи опасаются уголовного преследования после принятия нового закона

Крупные компании в сфере информационной безопасности обеспокоены новым законопроектом об уголовной ответственности за работу с утечками персональных данных. Сейчас проект подготовлен ко второму чтению, и он не предполагает исключений для исследователей, изучающих утечки в профессиональных целях.

Дмитрий Борощук

Руководитель агентства BeholderIsHere Consulting

Поиск утечек данных, как и регулярный мониторинг их в сети интернет и последующее изучение, является единственной возможностью для смягчения последствий и противодействию злоумышленникам использующих их для совершения преступлений. В связи с этим необходимо, как минимум, провести аналогию с регулированием деятельности частных детективов, в рамках внедрения законопроекта о «белых» хакерах. Так как, иначе все их действия, направленные на защиту ПДн, будут де-факто криминализированы, что повлечет за собой невозможность даже просто гипотетической защиты компаний и граждан.

Внесенный в Госдуму в конце 2023 года законопроект предлагает поправки к УК РФ, которые устанавливают ответственность за незаконные сбор, хранение и оборот ПДн граждан. В частности, в обновленной версии проекта предусмотрено наказание за создание ресурсов (ПО, сайта) для незаконных хранения и передачи информации, содержащей ПДн, полученные незаконным путем. Максимально правонарушителю может грозить лишение свободы на срок до пяти лет и штраф до 700 тыс. руб., а также  другие ограничительные меры.

На площадке Кибердома представители организаций в сфере информационной безопасности, а также подразделений по ИБ организаций IT-отрасли провели круглый стол, где обсудили проект Федерального закона №5022113-8. 

Алексей Коробченко

Начальник отдела по информационной безопасности компании «Код Безопасности»

Принятие проекта может довольно-таки сильно затронуть сферу информационной безопасности в России, поскольку рассматривается большое количество изменений: от запрета незаконной обработки персональных данных и до увеличения штрафов.

Вполне возможно, что из-за этого некоторые игроки на ИБ-рынке будут вынуждены закрыть отдельные направления практического кибербеза, например, таких, как поиск следов компрометации на просторах различных хакерских форумов и даркнета.

В коллективном обращении к Председателям Комитета ГД Крашенникову и Хинштейну участники круглого стола отметили, что текущая редакция законопроекта не предусматривает исключений для компаний, которые занимаются расследованием утечек ПДН и занимаются защитой ИБ от реализации кибератак.

Принятие законопроекта в текущей редакции повлечет за собой определенные негативные последствия, считают эксперты. ИБ-специалисты предполагают, что данная инициатива может снизить уровень кибербезопасности организаций по следующим причинам: 

• Организации со зрелыми службами ИБ не смогут больше легально заниматься мониторингом информационного пространства для выявления утечек их собственных ПДн.
• Деятельность коммерческих компаний, которые занимаются обеспечением кибербезопасности, мониторингом скомпрометированных ПДн и выступают в роли подрядчиков для государственных структур также окажется вне закона. Что повлечет за собой снижение уровня защити госорганов и объектов КИИ.

Алексей Кузнецов

CTO CICADA8 Центра инноваций Future Crew

Сейчас крупные компании в России в рамках мероприятий по кибербезопасности осуществляют мониторинг, анализ инцидентов утечки данных, в целях обеспечения защиты собственной информационной инфраструктуры и отражения кибератак. Они делают это самостоятельно, силами служб ИБ, либо с привлечением подрядчиков. Это стандартная легитимная мера по защите от кибератак. Законопроект в текущей редакции криминализирует эту деятельность и лишает российские компании базовых инструментов защиты.

В своем письме участники круглого стола предложили провести совместное рабочее совещание для обсуждения позиции организаций, работающих в сфере ИБ, и изложили ряд предложений.

Алексей Коробченко

Начальник отдела по информационной безопасности компании «Код Безопасности»

При этом принятие поправок, предложенных на круглом столе с участием крупнейших ИБ-игроков РФ, снимет угрозу с ИБ-рынка лишь частично, поскольку, вероятней всего, поправки не будут распространяться на всех участников информационной безопасности, а, к примеру, только на лицензиатов.

Также участники круглого стола отметили, что законопроект, по сути, дискриминирует российских исследователей, при этом дает преимущество злоумышленникам, и никак не пресекает их деятельность по сбору персональных данных, особенно с учетом их нахождения в других юрисдикциях.