Догнать и перегнать. Мошенников
По поводу недавней утечки из баз сервисных компаний в интернет личных данных граждан разбирается КНБ
Уведомлять об утечке персональных данных и платить высокие штрафы обяжут всех причастных к хранению личной информации.
На днях депутаты мажилиса одобрили в первом чтении законопроект “О внесении изменений и дополнений в некоторые законодательные акты по вопросам информационной безопасности”, ставший продолжением работы по формированию правовой базы защиты информации, в том числе персональных данных. Что именно изменится в этой сфере, рассказали эксперты на площадке пресс-центра партии Amanat.
Еще до начала сессии “Вопрос-ответ” приглашенный IT-специалист Евгений ПИТОЛИН расставил точки над “i”:
- К сожалению, в теме кибербезопасности государственная защита, эксперты всегда находятся в положении догоняющих - преступники априори на несколько шагов впереди нас. И это общемировая ситуация, в которой единственный вариант - бежать максимально быстро. Но даже в этом случае догнать проблему и зафиксировать ее не получится: кибербезопасность - живое явление, оно растет, а с ним растут запросы - каждый день, даже каждую минуту новые. А потому наша цель - соответствовать реалиям и максимально помогать законодательству удерживать позиции.
Вторил ему председатель комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Руслан АБДЫКАЛЫКОВ:
- Наша цель - не довести систему безопасности до конечного результата и успокоиться, нацелиться нам надо в первую очередь на грамотную реакцию с нашей стороны: закрывать утечки и параллельно научить население правильно общаться с мошенниками. Не думайте, что государство рассуждает так: “Все равно же что-нибудь да утечет, не будем ничего делать”. Нет, броня нарастает постоянно, но и люди должны осознавать последствия.
Очень кстати затронул представитель Минцифры тему недавно уплывших в сеть данных казахстанцев из, предположительно, баз данных сервисов по доставке еды и товаров:
- Уже несколько дней в соцсетях длится полемика по этому вопросу. Гарантировать, что подобное не повторится, не может никто: ни одна защитная система в мире не дает 100-процентной гарантии. А вместе с тем вы спросите: сколько жалоб поступило от конкретных лиц? Ни одной! Это говорит о том, что граждане пока не понимают, в чем проблема. А она обязательно возникнет, если эти данные попадут в руки мошенников. И вот наша задача как раз таки и состоит в том, чтобы научить людей, как себя вести, когда мошенник попытается его обмануть, - добавил Абдыкалыков.
С этой историей, добавил он, сейчас работает КНБ, уже выяснено, что утечек было несколько в разное время и из разных систем.
Что касается предлагаемых в законопроекте новелл, то одна из них будет касаться материальной ответственности за утечку данных.
- Насчет увеличения штрафов: сейчас в мажилисе рассматривается Административный кодекс, и мы внесли туда свои предложения увеличить штрафы за нарушения в сфере персональных данных в три раза. Сегодня они варьируются от 50 до 3000 МРП, чем и пользуются их обладатели: проще заплатить штраф, чем сделать упор на их защиту.
- Штрафы за подобные нарушения должны быть выше, чем потенциальные затраты оператора на обеспечение их защиты. Все должны понять: взялся за сбор и хранение личных данных - неси полную ответственность.
- Можно было бы, конечно, сразу увеличить размер штрафа хоть в сто раз, но мы не имеем права игнорировать интересы и права предпринимателей. Как только мы поднимаем вопрос о штрафах, в дискуссию вступают организации по защите прав бизнеса, говоря, что это очень ощутимое регуляторное воздействие на предпринимательство. Потому ищем разумный баланс, - на главные вопросы отвечала одна из разработчиков законопроекта депутат мажилиса Екатерина СМЫШЛЯЕВА.
Будет у операторов и еще одно обязательство.
- Сейчас у держателей персональных данных нет обязательств по уведомлению о произошедшей утечке. Мы же хотим ввести это обязательным порядком. Но мы еще в процессе уточнения, что же считать истинно персональными данными; пока это определение в законе очень общее. Отсюда и неоднозначная трактовка, что же они есть такое. Поэтому наша задача - на уровне закона определить, утекли ли именно персональные данные. Соответственно, нет пока смысла говорить и о возможной компенсации пострадавшим от утечки физическим лицам.
- Нет в Казахстане механизма по возмещению материального ущерба. Предложение можно было бы рассмотреть, но для начала надо определить, сколько же стоят персональные данные. Их капитализация очень условная, нужно сначала выработать систему оценки, принимая во внимания и последствия утечки, а потом уже говорить о компенсации урона, - отметила Смышляева.
Елена ЛЕВКОВИЧ, Астана