В этом году в действие вступают «долгожданные» оборотные штрафы за повторную утечку персональных данных. Пока трудно сказать, какова будет правоприменительная практика и начнёт ли государство кошмарить компании по новым правилам.

Я не являюсь большим экспертом по регуляторным нормам и их последствиям, но, по моему впечатлению, предыдущие подобные акты к массовым изменениям ландшафта кибербезопасности не приводили. Тем не менее мне как человеку, далёкому от уютных кресел топ-менеджеров, приятно видеть, что внимание небожителей-законотворцев нет-нет да и обратится к нашей многострадальной отрасли. 

В новом законе прописаны поистине драконовские штрафы, но вместе с тем — и смягчающие обстоятельства, одно из которых — расход не менее чем 0,1% от выручки на «мероприятия по обеспечению кибербезопасности, проведённые лицензированной организацией». Много ли это? На мой личный взгляд — вполне умеренно, хотя один мой уважаемый коллега, который куда лучше ориентируется в бизнесе, считает, что это очень даже солидный и ощутимый уровень инвестиций. В любом случае приятно наконец увидеть жёсткие требования к затратам, а не туманные абстракции. Давно пора! 

Интересно, что в новом законе нет чёткого указания, на какие именно направления должны расходоваться эти средства: хоть наймите людей, хоть разверните аппаратные или программные решения, хоть закажите аудит, пентест или ещё чего. Это даёт бизнесу большую гибкость — хочется верить, что ей не будут злоупотреблять, списывая требуемые расходы на виртуальные, существующие только на бумаге, мероприятия. Также интересно, что заветные 0,1% нужно отдать лицензированным подрядчикам. А чтобы иметь возможность тратить эти деньги самостоятельно, придётся получать лицензию самому. Ждём повышения спроса на лицензии по криптографии и ТЗКИ? 

И в заключение ещё одна мысль. По-хорошему, компания должна обрабатывать лишь необходимый минимум персональных данных, и по завершении обработки они должны удаляться. На практике же зачастую собираются сильно избыточные массивы данных, которые удаляются примерно раз в никогда, потому что времени, желания и денег с этим разбираться нет. Между тем процесс удаления обязательно должен быть отлажен — хотя бы для случаев, когда пользователь, реализуя своё право, требует прекратить обработку его ПДн. С новым законом появляется шанс (хоть и призрачный), что компании станут более ответственными и внедрят-таки процедуры периодического удаления неактуальных массивов данных. В конце концов, нельзя украсть данные, которых нет в системе, верно? 

Что ж, посмотрим, как новый закон отразится на практиках инвестирования в обеспечение ИБ. Будем надеяться на лучшее и верить, что увидим ощутимый рост интереса топ-менеджмента к стоящим перед всеми нами проблемам — с соответствующим ростом бюджетов.