В нестабильное экономическое время не стоит ужесточать систему штрафов за утечку персональных данных. Штрафные санкции не всегда эффективны, отметил в разговоре с корреспондентом ИА REGNUM генеральный директор INPRO. digital Виталий Арбузов.

geralt
Персональные данные

Напомним, Министерство цифрового развития Российской Федерации согласовало законопроект, в котором речь идёт о взимании оборотных штрафов с компаний, допустивших утечку персональных данных своих клиентов. В свете недавних утечек данных клиентов интернет-сервисов доставки еды и продуктов Delivery Club и «Яндекс. Еды» немалая часть граждан считает, что страх перед крупными штрафами побудит компании тщательнее следить за безопасностью клиентской базы. Однако представители бизнеса, как пишет «Коммерсант», предлагают трёхступенчатую систему наказания за утечки. А именно, если данные клиентов или сотрудников компании были скомпрометированы впервые, то она может получить предупреждение. В случае повторной компрометации — заплатить крупный штраф, и оборотный штраф применять лишь в случае третьей утечки.

«Компании, которые подверглись кибератаке уже понесли свои потери и находятся в кризисной ситуации, — отмечает Виталий Арбузов. — Не стоит злоупотреблять штрафами, так как это может демотивировать компании и сотрудников в частности, они будут работать не на результат, а на обхождение штрафа. Стоит обратить внимание не только на штрафные санкции, но и на программы позитивной мотивации сотрудников».

Как пример мотивации, эксперт приводит исследование, проведённое в 2014 году сотрудниками лаборатории кибербезопасности при Университете Мэриленда (США), когда студенты с лёгкостью обучались криптографической защите, методам идентификации и регулярному обновлению софта, играя в определённую компьютерную игру. Участники этой игры становятся владельцами компаний, которые испытывают финансовые проблемы и сталкиваются со сбоями в производстве, когда допускают ошибки в сфере кибербезопасности.

«В этой игре студенты соревнуются, пытаясь создать самую успешную компанию. Почему бы не применить такой подход для российских компаний?», — предлагает Виталий Арбузов.

Как ранее сообщало ИА REGNUM, Госдума 6 июля 2022 года приняла в третьем чтении поправки к закону «О персональных данных». Для всех компаний вменяется обязанность сообщать Роскомнадзору об утечках личной информации граждан в течение 24 часов после их обнаружения, и в течение 72 часов предоставить результаты расследования и информацию о виновных.