Кибербезопасность в России может столкнуться с серьезными проблемами из-за новых поправок в законопроект о персональных данных, которые могут криминализировать деятельность специалистов по информационной безопасности (ИБ), изучающих утечки данных. Это опасение высказали участники рынка, включая более 15 компаний, в открытом письме, направленном в Госдуму.
В предложенном ко второму чтению законопроекте об уголовной ответственности за работу с украденными персональными данными нет исключений для специалистов, которые занимаются исследованием утечек данных в профессиональных целях, что может привести к уголовному преследованию. Эксперты отмечают, что такие поправки могут заблокировать работу ИБ-компаний и исследователей, а также нарушить возможность анализа данных, необходимых для защиты инфраструктуры от атак.
В письме к ответственным комитетам Госдумы указано, что проект не учитывает легитимные цели защиты от киберугроз и расследования утечек. В частности, компании, занимающиеся мониторингом утечек в даркнете или других ресурсах, могут оказаться под угрозой уголовной ответственности. Это, по мнению участников рынка, приведет к незаконности таких действий, несмотря на их необходимость для противодействия преступникам.
Компания Positive Technologies предложила, что в законопроекте должны быть определены условия и критерии, при которых доступ к утекшим данным будет законным. Они также считают, что важно для ИБ-специалистов сохранить возможность работы с утечками данных для обеспечения безопасности.
Алексей Коробченко, начальник отдела по ИБ компании «Код безопасности», выразил опасение, что поправки могут привести к закрытию ряда направлений деятельности в ИБ-компаниях, например, поиска следов компрометации на хакерских форумах и даркнете.
Принятие проекта может довольно-таки сильно затронуть сферу информационной безопасности в России, поскольку рассматривается большое количество изменений: от запрета незаконной обработки персональных данных и до увеличения штрафов. Вполне возможно, что из-за этого некоторые игроки на ИБ-рынке будут вынуждены закрыть отдельные направления практического кибербеза, например, таких, как поиск следов компрометации на просторах различных хакерских форумов и даркнета. При этом принятие поправок, предложенных на круглом столе с участием крупнейших ИБ-игроков РФ, снимет угрозу с ИБ-рынка лишь частично, поскольку, вероятней всего, поправки не будут распространяться на всех участников информационной безопасности, а, к примеру, только на лицензиатов.
Алексей Коробченко Начальник отдела по информационной безопасности компании «Код Безопасности»
Алексей Кузнецов, CTO Центра инноваций Future Crew, отметил, что законопроект криминализирует стандартную защитную деятельность, такую как мониторинг инцидентов утечки данных, и лишает компании базовых инструментов для защиты.
Сейчас крупные компании в России в рамках мероприятий по кибербезопасности осуществляют мониторинг, анализ инцидентов утечки данных, в целях обеспечения защиты собственной информационной инфраструктуры и отражения кибератак. Они делают это самостоятельно, силами служб ИБ, либо с привлечением подрядчиков. Это стандартная легитимная мера по защите от кибератак. Законопроект, а текущей редакции криминализирует эту деятельность и лишает российские компании базовых инструментов защиты.
Алексей Кузнецов CTO CICADA8 Центра инноваций Future Crew
По мнению Дмитрия Борощука, руководителя BeholderIsHere Consulting, поиск и изучение утечек данных является единственным способом для защиты от злоумышленников, и закон должен предусматривать исключения для специалистов, занимающихся такими исследованиями.
Поиск утечек данных, как и регулярный мониторинг их в сети интернет и последующее изучение, является единственной возможностью для смягчения последствий и противодействию злоумышленникам использующих их для совершения преступлений. В связи с этим, необходимо, как минимум, провести аналогию с регулированием деятельности частных детективов, в рамках внедрения законопроекта о «белых» хакерах. Так как, иначе все их действия направленные на защиту пдн, будут де-факто криминализированы, что повлечёт за собой невозможность даже просто гипотетической защиты компаний и граждан.
Дмитрий Борощук Руководитель агентства BeholderIsHere Consulting
