Аналитика и комментарии
Владимир КАШИРСКИЙ, «Перфоманс Лаб»: Новый закон ужесточает ответственность за утечки персональных данных. Последствия для бизнеса
Новые штрафы за утечку персональных данных радикально меняют правила игры на российском рынке: бизнесу необходимо срочно адаптироваться к новым условиям, чтобы выжить. Владимир КАШИРСКИЙ, генеральный директор «Перфоманс Лаб» в интервью для Национального банковского журнала (NBJ) объясняет, как эти изменения отразятся на компаниях, почему ответственность затрагивает всех — от сотрудников до топ-менеджеров, и какие шаги помогут избежать катастрофических последствий для каждой из сторон.
NBJ: Как вы трактуете этот закон? В чем его суть в двух словах?
В. КАШИРСКИЙ: Закон направлен на установление штрафов для физических, должностных и юридических лиц за утечку персональных данных, усиливая ответственность всех участников процесса.
NBJ: В связи с чем появилась необходимость ужесточить ответственность за утечку?
В. КАШИРСКИЙ: Утечка персональных данных является первопричиной множества мошеннических действий и наносит огромный ущерб — как компаниям, так и государствам. Это проблема, от которой страдают не только бизнесы, но и обычные граждане, особенно пенсионеры, инвалиды и другие социально незащищенные группы. Россия остается уязвимой перед такими угрозами, а граждане терпят значительные убытки из-за действий мошенников.
Очевидно, что государство решило взять ситуацию под контроль, поскольку прежние методы — просвещение, уговоры, призывы к ответственности — не дали должного эффекта. Для компаний, обрабатывающих и хранящих персональные данные, при низком уровне штрафов эта задача не была приоритетной.
Ужесточение законодательства стало необходимым шагом, чтобы привлечь внимание к проблеме, повысить ответственность и дисциплину компаний в вопросах обработки и хранения данных. Это логичный ответ на те вызовы, которые накопились за последние годы.
NBJ: Кого касаются эти изменения в законе?
В. КАШИРСКИЙ: Изменения в законодательстве касаются всех участников процесса обработки персональных данных: физических лиц, должностных лиц и юридических лиц. Это означает, что ответственность за утечку или незаконное использование данных несут как отдельные сотрудники, так и руководители и организации в целом. Таким образом, закон охватывает всю цепочку лиц, связанных с обработкой персональной информации.
NBJ: Как вы оцениваете новые штрафы за утечки персональных данных с точки зрения их влияния на операционные расходы компании?
В. КАШИРСКИЙ: Новые штрафы серьёзно ударят по операционным расходам компаний. На первых порах закон, скорее всего, будет применяться без разбора, пока не накопится база прецедентов в судебной практике. Это значит, что штрафы могут быть наложены даже в спорных случаях.
Для крупных компаний штрафы до 500 миллионов рублей за утечку — ощутимый удар, который придётся учитывать в бюджетах. Более того, штрафы могут быть наложены за каждый случай утечки, из-за чего финансовые риски становятся ещё серьёзнее.
Для малого и среднего бизнеса ситуация сложная. Штрафы от 25 миллионов рублей для небольших компаний могут стать фатальными и привести к банкротству. Закон требует от бизнеса максимального внимания к защите данных и пересмотра подходов к их обработке.
NBJ: Что изменится?
В. КАШИРСКИЙ: После введения изменений компании и должностные лица начнут уделять больше внимания защите персональных данных. Штрафы стали настолько серьёзными, что компании будут активно искать и внедрять решения для маскирования данных в тестовых контурах, чтобы избежать утечек.
В долгосрочной перспективе это должно сократить объём утечек данных, усложнить работу мошенников и уменьшить финансовые потери для государства, бизнеса и обычных граждан. Кроме того, это поможет предотвратить утечку денег за границу, где часто действуют мошеннические сети. В результате это позитивно отразится на экономике в целом.
Какие эффективные способы борьбы с утечками данных станут популярными в ближайшем будущем?
В. КАШИРСКИЙ: На мой взгляд, популярность обретут два способа снижения рисков утечки персональных данных. Первый — это выявление уязвимостей и создание надежного защитного контура, который не позволит злоумышленникам получить доступ к данным. Второй — понимание, где именно находятся персональные данные. Они могут быть разбросаны по различным системам, тестовым средам или даже личным устройствам сотрудников, и организация может об этом не знать.
Решением этой проблемы могут стать так называемые инструменты маскировки. Эти технологии не только превращают реальные данные в случайные символы, но и помогают находить их там, где компания даже не подозревает. Важно, чтобы процесс маскировки охватывал все системы: если Иванов Иван стал набором символов в одной базе, то то же самое должно произойти везде, где он упоминается. Такой подход значительно снижает вероятность утечек и защищает данные от несанкционированного доступа.