Такие результаты показал опрос, проведенный компанией «СёрчИнформ» в рамках вебинара «Свежая ИБ-нормативка: регулирование, правовые аспекты и штрафы в 2024 году» с участием 170 компаний-операторов персональных данных.
С весны 2022 года ведется активное обсуждение ужесточения ответственности за утечку персональных данных. В начале 2024 года Госдумой в первом чтении был принят законопроект, предусматривающий оборотные штрафы с максимальным порогом в 3% от оборота. Обсуждались механизмы привлечения к ответственности, но необходимость усилить наказания признается на всех уровнях.
Введение оборотных штрафов приведет к тому, что компании увеличат темпы внедрения защитных решений, так считают 44% опрошенных операторов ПДн. В трети организаций негативно оценивают инициативу, они отмечают, что ужесточение наказания за инциденты, связанные с утечкой персданных, негативно отразится на бизнесе. Компании опасаются избыточного числа проверок и применения одинаковых размеров штрафов для бизнеса разного размера. 23% опрошенных заявили о том, что штрафы не изменят ситуацию с утечками персональных данных.
«Утечки персональных данных – давно назревшая проблема, решение которой откладывать уже нельзя. По данным нашего ежегодного исследования, в 2023 году 37% российских компаний столкнулись с утечкой ПДн, это на 5% больше, чем в 2022 году. От утечек страдают все отрасли экономики без исключения, а главное, сами граждане. Именно поэтому большая часть самих операторов ПДн, на которых это ужесточение распространяется, подтверждают необходимость изменений», – говорит GR-директор «СёрчИнформ» Ольга Минаева.
В декабре 2023 года в Госдуму были внесены две обновленные версии законопроекта, которые предусматривают поправки к уголовному и административному кодексам. Один из которых предусматривается уголовную ответственность за незаконный оборот персональных данных. По данным опроса, 56% операторов ПДн поддерживают введение уголовной ответственности, они считают, что такая мера поможет остановить инсайдеров. Оставшаяся часть опрошенных (44%) считают, что текущих санкций достаточно.
Участники опроса также ответили, чего компаниям не хватает для полноценной защиты данных. Оказалось, что ключевая проблема по-прежнему в нехватке бюджетов и «рук». О нехватке выделяемых средств на защиту заявили 76% специалистов, о кадровом дефиците – 73%. Проблему в отсутствии новых технических средств защиты видят 41% участников опроса. При этом у 86% опрошенных в штате есть сотрудники, ответственные за защиту персональных данных, оставшиеся 14% пока не вводили эту должность.
В ситуации увеличения количества утечек персональных данных перед компаниями встает вопрос об усилении защиты. Однако, по данным опроса, оснащенность организаций специализированным ПО недостаточной. Так, криптографическое шифрование ПО используют только 46% опрошенных компаний, системы предотвращения утечек информации (DLP) – лишь 27%, системы обнаружения вторжений (IDS) – 14%. Большинство по-прежнему обходится только антивирусом для защиты от киберугроз.
Что ж это за операторы такие собрались на вебинаре у СерчИнформа? Представители ФСТЭК, ФСБ, РКН, Госдумы и госкомпаний? Дружно поддержали введение для себя оборотных штрафов меньшинством голосов.
Умом Россию не понять, аршином общим не измерить
Молодцы операторы! Поддержим штрафы для самих себя! Особенно обрадовались, наверное, собственники этих операторов.