EUR: 98.5842 руб -0.19 
USD: 90.6537 руб -0.33 
GBP:115.1121 руб -0.15 
CNY: 12.5100 руб -0.07 
CHF: 99.7290 руб -0.37 
UAH: 22.9927 руб -0.08 
BYN: 28.1350 руб -0.15 
CAD: 66.5837 руб -0.22 
Реклама у нас - отличный способ продвижения бренда и привлечения новых клиентов для вашей компании! 
AUD: 0.6680 $ 
JPY: 0.0064 $ 
RUB: 0.0110 $ 
Борьба с течением: как за рубежом регулируют сферу кибербезопасности
Во многих государствах регулирование цифровой безопасности основывается на системе обязательных требований и стандартов, которые должны соблюдать компании при разработке систем защиты данных. Например, в Китае они достаточно подробно прописаны и закреплены на законодательном уровне. Как правило, требования касаются порядка хранения, шифрования и обработки информации — компании могут получить штраф не за сам факт утечки, а за несоблюдение принятых стандартов. В некоторых странах регулирование разрабатывается отдельно для каждого региона. В США, например, индивидуально под каждый штат, но есть единое требование для всех — компании обязаны сообщать об утечках, затронувших чувствительные идентификаторы, который оговорены законом. Именно нераскрытие информации становится основанием для возникновения административной и гражданско-правовой ответственности. Например, Uber оштрафовали на $148 млн, так как компания не рассказала об утечке данных 57 млн пользователей, хотя по закону она обязана была это сделать.
Впрочем сумма штрафов не бесконечна. С одной стороны, они должны быть ощутимыми для компании с целью не допускать утечек в принципе, а с другой — не подрывать ее деятельность и давать возможность выделять бюджеты на совершенствование систем защиты. В некоторых штатах США установлены верхние границы штрафов за несообщение об утечке: так, максимальная сумма для компании в округе Колумбия может составить $100 000, а в Калифорнии — $250 000.
Довольно широко распространена практика сотрудничества компаний и государственных органов при утечках данных. Это помогает оперативнее устранять последствия утечек, а в некоторых случаях открытость компаний к сотрудничеству может стать смягчающим обстоятельством при определении наказания. Сети отелей Marriott именно благодаря активному содействию расследованию, оперативному оповещению регулятора и клиентов об утечке и усилению мер безопасности удалось снизить сумму штрафа в пять раз, до $24 млн.
В России в связи с ростом числа кибератак вопрос регулирования ИБ становится все более острым. На текущий момент власти сосредоточены не столько на комплексном регулировании, сколько на достаточно жестких мерах ответственности — оборотных штрафах для бизнеса и уголовной ответственности для физических лиц. Данный подход может привести к ряду последствий.
Так, ужесточение штрафов за утечки до 3% от оборота вынудит компании на время снизить расходы на обучение сотрудников и вложения в ИБ в целом. Это приведет к ровно противоположному изначальной задаче эффекту: компания станет более уязвимой, а вероятность повторной утечки повысится. Непрозрачные формулировки о наступлении личной ответственности (в том числе уголовной) влекут за собой и другое возможное последствие — возможный отток IТ-специалистов, которые не захотят работать в условиях риска безвиновного наказания.
Споры в отрасли вызывает и предложение о выплатах компенсаций части пострадавших пользователей — участники рынка считают, что механизм по умолчанию выглядит несправедливым, и он будет дублировать имеющиеся практики, так как в России уже есть способы возмещения ущерба от утечек через суд. Наконец, его будет крайне сложно администрировать. Более того, инициатива может создать предпосылки для развития потребительского экстремизма в качестве злоупотребления правом на компенсации, а также угрозы мошенничества в отношении пользователей в интернете. Эксперты отмечают, что в мире практики массовой досудебной компенсации не применяются в принципе — все решается в судебном порядке, как и в России.
В целом, международный опыт регулирования всегда основывается на непрерывном диалоге регулятора с отраслью — это можно взять на вооружение и российским законотворцам. Комплексный подход поможет разработать регулирование, которое позволит соблюсти интересы всех. Тем более, что компании и так максимально заинтересованы в том, чтобы развивать системы кибербезопасности: они уже в настоящий момент тратят на это почти 20% от общего IT-бюджета, а к 2025 году планируют увеличить расходы еще на 14%.
Мнение редакции может не совпадать с точкой зрения автора
Ирина Левова
Автор
Источник: www.forbes.ru/tekhnologii/512014-bor-ba-s-teceniem-kak-za-rubezom-reguliruut-sferu-kiberbezopasnosti
