ИТ-комитет Госдумы, Роскомнадзор и Минцифры прорабатывают вопрос создания «спецоператора обработки персональных данных», сообщил глава комитета Александр Хинштейн на ПМЭФ-2024. Появление «спецоператоров» потенциально интересно компаниям малого и среднего бизнеса, у которых недостаточно ресурсов на безопасную обработку и хранение персданных, однако не решит проблему утечек, считают эксперты. О новой законодательной инициативе – в материале RSpectr.
СТОЯНКА ДЛЯ ДАННЫХ
Депутат объяснил, что «спецоператор персональных данных» будет работать по принципу «условно банковского хранилища или автостоянки».
Александр Хинштейн, Госдума:
– Отдаешь персональные данные, и дальше ты спокоен за то, что их обрабатывает тот, кто в состоянии их защищать. Какие данные тебе требуются по защищенному каналу – они тебе предоставляются.
По его словам, сейчас в России более 5 млн юридических лиц, включая ИП, каждое из них является оператором персданных. Депутат уверен, что значительная часть из них не может качественно защищать личную информацию клиентов.
Мнения опрошенных RSpectr экспертов и участников рынка разделились.
Введение категории «спецоператор обработки персданных» позволит бизнесу сосредоточиться на своей основной деятельности, будучи уверенным в том, что данные хранятся в защищенном месте, прокомментировал член Комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин.
Действительно, сейчас обсуждается вопрос создания отдельной категории доверенных операторов персональных данных (ПД), которые в обязательном порядке проходили бы специальную аккредитацию и получали право на работу с данными только при соответствии определенным критериям, отметил член ИТ-комитета Госдумы Антон Немкин.
Депутат подчеркнул, что спецоператоры должны иметь надежную инфраструктуру для хранения и обработки информации, квалифицированных сотрудников и не быть замеченными в киберинцидентах.
Антон Немкин, Госдума:
– Бизнесу такие спецоператоры, безусловно, нужны. Сейчас по схожей схеме, например, работает Единая биометрическая система (ЕБС), в которой хранятся все биометрические данные наших граждан, а компании работают только с их векторами.
Кроме того, продолжает обсуждаться вопрос о необходимости иметь доверенным операторам своего рода «страховку» на случай утечки, продолжил депутат. В частности, у них должна быть возможность выплатить назначенные административные штрафы. Это нужно для того, чтобы избежать ситуации, когда компании назначен штраф до 15 млн рублей, а она ничего кроме банкротства и ликвидации не может предложить.
Этим, к слову, обеспокоены сегодня почти 70% компаний из сегмента малого и среднего бизнеса.
Бизнесу не нужны спецоператоры обработки ПД, полагает основатель Privacy Advocates Алексей Мунтян. По его мнению, пример ЕБС и ее спецоператора – Центр биометрических технологий – сложно назвать удачным.
Алексей Мунтян, Privacy Advocates:
– Представители бизнеса часто жалуются на задержки с предоставлением данных из ЕБС, а также на производительность этой системы. И такая же ситуация может получиться и со спецоператором по обработке ПД, если он будет в единственном числе.
Сегодня возможно перераспределить работу по обработке, хранению и защите ПД сторонним операторам, продолжил эксперт. Например, такую роль выполняет портал «Госуслуги», органы исполнительной власти, подчеркнул бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.
Алексей Лукацкий, Positive Technologies:
– Однако передача функций не снимает ответственности с оператора персональных данных. Он по-прежнему несет ответственность за защиту информации, даже если утечка произошла у стороннего лица, осуществляющего ее обработку или хранение. Оператор ПД обязан убедиться, что все задействованные в обработке и хранении данных юридические лица выполняли требования безопасности.
Таким образом, полагает эксперт, введение категории «спецоператор обработки персональных данных», скорее всего, не решит проблемы безопасности ПД и не оптимизирует действующую систему ответственности
«Не могу себе представить, зачем может быть нужен такой “спецоператор”», – посетовал управляющий партнер «Емельянников, Попова и партнеры» Михаил Емельянников. Субъект передает ПД банку для оказания банковских услуг, страховой компании – для заключения и исполнения договора страхования, поликлинике – для получения медицинских услуг и т.д.
Михаил Емельянников, «Емельянников, Попова и партнеры»:
– Разве может «спецоператор» обрабатывать эти данные вместо банка, страховой компании или медицинского учреждения? Конечно, нет. Зачем же тогда нужно создавать еще одно хранилище данных, которое сразу же станет лакомой целью для хакеров, потому что в одном месте будет сконцентрировано огромное количество самых разнообразных данных?
Конкретным операторам такой спецоператор не нужен, не нужен он и субъектам, полагает эксперт.
Бизнес сам способен решить, есть ли необходимость в таких «спецоператорах», уверен управляющий партнер Comply Артем Дмитриев.
Артем Дмитриев, Comply:
– Я ни разу не слышал от бизнеса и ассоциаций таких мыслей. Хотя, допускаю, что малый бизнес и, возможно, B2B средний бизнес будут не против снять с себя часть рисков, лишившись при этом своего «экономического титула» на данные.
Но пока вопросов больше, чем ответов, считает эксперт. Например,по каким правилам будет осуществляться взаимодействие между бизнесом и «спецоператором»?
ТОЧКА УЯЗВИМОСТИ
Нововведение будет иметь смысл в случае, если появление такого спецоператора приведет к снижению издержек бизнеса на обработку ПД, обратил внимание руководитель направления сервисов защиты «НУБЕС» Александр Быков.
Александр Быков, «НУБЕС»:
– С другой стороны, такой спецоператор может стать еще одной точкой уязвимости и потенциальным каналом утечки персональных данных. Причем скомпрометированными могут стать ПД сразу многих компаний, хранящиеся у спецоператора.
По мнению руководителя направления «большие данные» группы «Рексофт» Сергей Назаренко, для мелкого и среднего бизнеса в перспективе эта инициатива несет только пользу.
При этом, отметил он, стоит учитывать интересы крупных игроков (телеком-операторов, банков, ритейл-сетей), уже инвестировавших в собственную инфраструктуру по защите данных.
Сергей Назаренко, «Рексофт»:
– Для них есть риск «двойного налогообложения» при введении спецоператора и законодательного закрепления необходимости использовать его инфраструктуру.
В перспективе введение оборотных штрафов за утечки и создание спецоператора ПД может быть интересно для бизнеса, полагает заместитель технического директора Innostage Данияр Исхаков. Вместе с тем необходимо понимать, что это не отменит необходимость обеспечения защиты ПД при их обработке.
То есть шифрование канала связи, защиту рабочих мест сотрудников, которые запрашивают ПД, защиту приложений, где обрабатывается запрошенная информация и откуда она может утечь.
Данияр Исхаков, Innostage:
– Также необходимо сопоставить стоимость и выгоды от создания собственных систем защиты информации, которые, помимо защиты ПД, нужны для обеспечения защиты конфиденциальной информации и устойчивости бизнеса от хакерских атак, а также стоимость услуг спецоператора.
Руководитель проектов развития бизнеса Directum Александр Быков считает, что введение категории «спецоператор обработки персональных данных» дает возможность переложить часть рисков на стороннюю организацию.
Многие компании хотели бы передать свои ПД и избавиться от ответственности за их сбор и хранение, считает заместитель гендиректора «Атом безопасность» Юрий Драченин. Но, по его словам, передача данных все равно оставляет следы, которые могут стать мишенью для мошенников.
Юрий Драченин, «Атом Безопасность»:
– Регулирование операторов может оказаться недостаточным, и они могут распоряжаться информацией по своему усмотрению, что вызывает беспокойство и создает новые риски.
Вопросов по этой инициативе возникает много, продолжил председатель комиссии по финансовой информационной безопасности совета ТПП РФ Тимур Аитов. Как будет происходить обмен данными с хранилищем, каковы будут требования по криптографии, что именно будет храниться и за какие деньги, как определить виновного, если произошла утечка, и как его наказать.
Ассоциация больших данных (АБД) считает, что аспекты будущего регулирования требуют уточнения. Например, порядок взаимодействия спецоператоров с обработчиками ПД, а также распределение ответственности между ними.
Пресс-служба, АБД:
– Спецоператорами потенциально могут стать участники рынка, которые достигли высокого уровня зрелости в вопросах информационной безопасности и инвестируют в инфраструктуру безопасной обработки данных, что подтверждается результатами независимой оценки.
В этой части АБД совместно с участниками рынка разработала и приняла Отраслевой стандарт защиты данных, который может стать основой для будущих требований к спецоператорам.
Сенатор Артем Шейкин уверен, что ответственность за утечку персональных данных будет лежать на том лице, чьи действия (или бездействие) привели к неправомерной передаче этой информации.
Для реализации новой инициативы потребуется внесение изменений в законодательство, регулирующее обработку ПД, с целью определения требований к спецоператору, условий взаимодействия с другими участниками рынка. Также необходимо разработать механизмы контроля и надзора за их деятельностью.
НОВАЯ СУЩНОСТЬ
Идея создания института спецоператоров впервые была представлена осенью 2023 года и на тот момент была воспринята экспертным сообществом негативно, напомнил партнер технологической практики «Технологии Доверия» (ТеДо) Артем Семенихин.
Артем Семенихин, ТеДо:
– Гипотеза о том, что укрупненная централизация позволит обеспечить более эффективные меры защиты, не нашла подтверждения. Чаще всего крупные утечки ПД миллионов пользователей происходят именно в больших компаниях, по сравнению с этим негативный эффект потенциальных утечек от предприятий мелкого и среднего бизнеса несравнимо мал.
До принятия решения о спецоператорах персональных данных можно было бы поработать над направлениями, которые имеют более низкое воздействие на предпринимательскую среду, считает управляющий партнер «Лукаш и Партнеры» Денис Лукаш.
Денис Лукаш, «Лукаш и Партнеры»:
– В законе уже есть подходящее понятие «оператор информационной системы», можно было бы развивать его. Предлагаемая теория спецоператоров персональных данных пока слишком радикальна для сложившегося ИТ-рынка.
Идея со спецоператором может быть хороша, когда она реализуется просто как спецуслуга для малого и среднего бизнеса, но это вполне укладывается в концепцию «обработчика», которая уже имеется в законе «О персональных данных» и не требует особенных изменений, считает адвокат, партнер Privacy Advocates Александр Партин.
Не стоит забывать, что уже сейчас на рынке есть организации, специализирующиеся на услугах защиты ПД: это MSSP-провайдеры, консалтинговые организации, центры обработки данных, предоставляющие в аренду свои мощности по моделям IaaS и защищающие их в соответствии с требованиями законодательства, отметил консультант по информационной безопасности AKTIV.CONSULTING Никита Козин. По его мнению, функционал спецоператоров пока не выглядит на их фоне чем-то новым, скорее как развитие услуг в сторону SaaS.