Принятые в конце ноября поправки в Уголовный кодекс (УК), направленные на борьбу с утечками персональных данных, могут негативно отразиться на рынке кибербезопасности. Такие опасения высказали опрошенные РБК представители нескольких компаний, занимающихся информационной безопасностью.
Как пояснил заместитель гендиректора ГК «Гарда» Рустэм Хайретдинов, новые положения УК предусматривают наказание для тех, кто получает доступ к похищенным данным в интернете, но такие действия ежедневно выполняют специалисты по расследованию инцидентов в сфере кибербезопасности. Они анализируют утечки, исследуют метаданные и образцы данных, чтобы определить характер и объём утечек. «Сейчас экспертное сообщество активно работает с законодателями, чтобы разрешить эту правовую коллизию. Вариантов решения несколько: возможно, это будут определенного вида лицензии на право заниматься киберрасследованиями, по аналогии с „белыми хакерами“», — рассказал Хайретдинов.
Такие обсуждения действительно ведутся в профессиональной среде, подтвердил РБК Александр Метальников, эксперт направления безопасности промышленных предприятий компании Infosecurity (ГК Softline). Законодатели, по его данным, в дискуссии пока не участвуют. Эксперт напомнил, что ещё во время второго чтения законопроекта с поправками предлагалось сделать исключения для компаний, занимающихся легитимным анализом похищенных данных, но в окончательную версию закона такие оговорки не попали.
«В результате ряд компаний, осуществлявших анализ утечек в даркнете, приостановили свою деятельность в этой области, — сказал Метальников. — Одним из решений проблемы могло бы стать введение исключений для организаций с лицензиями Федеральной службы по техническому и экспортному контролю, которые занимаются мониторингом информационной безопасности».
Главный эксперт «Лаборатории Касперского» Сергей Голованов напомнил, что аналогичный подход уже показал свою эффективность в вопросе защиты от вредоносного кода — компании по кибербезопасности ежедневно работают с ним, но эта деятельность не классифицируется как незаконное создание, распространение или использование вредоносных программ.
На рынке есть мнение, что любая незаконная обработка персональных данных может попасть под действие новой статьи УК, говорит бизнес‑консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий. По его словам, под незаконной обработкой регулятор понимает не только обработку сведений об утечках персональных данных, к которым имеют доступ компании в области информационной безопасности, но и передачу персональных данных без согласия, например в рамках группы компаний, неверную форму согласия на обработку персональных данных, обработку cookies, а также другие нарушения, которые раньше рассматривались как некритичные либо попадали под административное наказание. Сейчас регулятор их всерьёз рассматривает с точки зрения нового состава преступления, пояснил эксперт.
Цель нового закона — не ограничить законную деятельность специалистов в области кибербезопасности, а пресечь злоумышленное использование данных, сказал РБК член Совета Федерации, заместитель председателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин. Преступлением, по его словам, будет считаться незаконный оборот компьютерной информации, которая получена незаконным путём и содержит персональные данные. Если специалисты по расследованию киберинцидентов действуют на основании договоров с заказчиками, соблюдают законы и не нарушают права третьих лиц, то их действия не подпадают под незаконный оборот, указал Шейкин. «Мы готовы рассматривать предложения отрасли, если практика применения закона потребует дополнительного обсуждения», — добавил сенатор.
ссылка на оригинал статьи https://habr.com/ru/articles/870064/
Добавить комментарий