Новый закон РФ об ответственности за утечки данных ударит по борцам с хакерами
Компании просят учесть легитимные цели работы с утечками данных© Ferra.ru
В предложенном ко второму чтению законопроекте об уголовной ответственности за работу с украденными персональными данными нет исключений для специалистов, которые занимаются исследованием утечек данных в профессиональных целях, что может привести к уголовному преследованию. Эксперты отмечают, что такие поправки могут заблокировать работу ИБ-компаний и исследователей, а также нарушить возможность анализа данных, необходимых для защиты инфраструктуры от атак.
В письме к ответственным комитетам Госдумы указано, что проект не учитывает легитимные цели защиты от киберугроз и расследования утечек. В частности, компании, занимающиеся мониторингом утечек в даркнете или других ресурсах, могут оказаться под угрозой уголовной ответственности. Это, по мнению участников рынка, приведет к незаконности таких действий, несмотря на их необходимость для противодействия преступникам.
Компания Positive Technologies предложила, что в законопроекте должны быть определены условия и критерии, при которых доступ к утекшим данным будет законным. Они также считают, что важно для ИБ-специалистов сохранить возможность работы с утечками данных для обеспечения безопасности.
Алексей Коробченко, начальник отдела по ИБ компании «Код безопасности», выразил опасение, что поправки могут привести к закрытию ряда направлений деятельности в ИБ-компаниях, например, поиска следов компрометации на хакерских форумах и даркнете.
Принятие проекта может довольно-таки сильно затронуть сферу информационной безопасности в России, поскольку рассматривается большое количество изменений: от запрета незаконной обработки персональных данных и до увеличения штрафов. Вполне возможно, что из-за этого некоторые игроки на ИБ-рынке будут вынуждены закрыть отдельные направления практического кибербеза, например, таких, как поиск следов компрометации на просторах различных хакерских форумов и даркнета.
При этом принятие поправок, предложенных на круглом столе с участием крупнейших ИБ-игроков РФ, снимет угрозу с ИБ-рынка лишь частично, поскольку, вероятней всего, поправки не будут распространяться на всех участников информационной безопасности, а, к примеру, только на лицензиатов.
Алексей Кузнецов, CTO Центра инноваций Future Crew, отметил, что законопроект криминализирует стандартную защитную деятельность, такую как мониторинг инцидентов утечки данных, и лишает компании базовых инструментов для защиты.
Сейчас крупные компании в России в рамках мероприятий по кибербезопасности осуществляют мониторинг, анализ инцидентов утечки данных, в целях обеспечения защиты собственной информационной инфраструктуры и отражения кибератак. Они делают это самостоятельно, силами служб ИБ, либо с привлечением подрядчиков. Это стандартная легитимная мера по защите от кибератак. Законопроект, а текущей редакции криминализирует эту деятельность и лишает российские компании базовых инструментов защиты.
По мнению Дмитрия Борощука, руководителя BeholderIsHere Consulting, поиск и изучение утечек данных является единственным способом для защиты от злоумышленников, и закон должен предусматривать исключения для специалистов, занимающихся такими исследованиями.
Поиск утечек данных, как и регулярный мониторинг их в сети интернет и последующее изучение, является единственной возможностью для смягчения последствий и противодействию злоумышленникам использующих их для совершения преступлений. В связи с этим, необходимо, как минимум, провести аналогию с регулированием деятельности частных детективов, в рамках внедрения законопроекта о «белых» хакерах. Так как, иначе все их действия направленные на защиту пдн, будут де-факто криминализированы, что повлечёт за собой невозможность даже просто гипотетической защиты компаний и граждан.