Разделы

Безопасность Бизнес Законодательство ИТ в госсекторе Техника

Власти обяжут российский бизнес против его воли подключаться к ГосСОПКА. Компании резко протестуют

Российский бизнес не желает принудительно подключаться к системе ГосСОПКА по указанию властей, подготовивших соответствующие поправки к закону «О персональных данных». Против такой «обязаловки» выступают и компании крупного бизнеса, и эксперты в юридических и экономических вопросах. Заставить российские компании подключаться к этой системе хотят депутаты во главе с Александром Хинштейном и Андреем Клишасом.

ГосСОПКА российскому бизнесу не нужна

Российский бизнес выступил против обязательного подключения к госсистеме обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), пишет «Коммерсант». Такого мнения придерживается, в частности, Российская ассоциация электронных коммуникаций (РАЭК). В эту организацию входят, помимо прочих, «Ростелеком», VK и «Лаборатория Касперского», а также иностранные компании – Samsung, Microsoft и др.

РАЭК выступает против новых поправок к действующему в России закону «О персональных данных», которые были подготовлены и внесены на рассмотрение в Госдуму группой депутатов во главе с с председателем комитета Госдумы по информполитике Александром Хинштейном и сенатором Андреем Клишасом в начале апреля 2022 г. Новая инициатива обязывает всех без единого исключения операторов персональных данных сообщать в органы власти обо всех утечках персональных данных россиян. Помимо этого, новые поправки заставляют таких операторов подключаться к ГосСОПКА, тогда как по действующим нормам такая обязанность касается лишь объектов критической информационной инфраструктуры. К ним относятся финансовые организации, операторы связи, компании из состава ТЭК и др.

Новая инициатива властей на пользу бизнесу не пойдет, считают участники рынка

Система ГосСОПКА создавалась с 2013 г. под патронажем Федеральной службы безопасности России (ФСБ). Как сообщал CNews, процесс проходил в режиме крайне скупого публичного освещения подробностей. Первые подробности о ней стали утекать в публичный доступ лишь в октябре 2017 г.

Система создается на основании указа Президента России Владимира Путина №31с от 15 января 2013 г. В ее состав входят иерархически связанные ведомственные и корпоративные центры ГосСОПКА. Они обмениваются информацией о зафиксированных кибератаках и методах их предотвращения. ГосСОПКА создавалась для централизованного противодействия кибератакам и защиты от них объекты КИИ, а также для оперативного устранения их последствий. Согласно действующему законодательству, структуры, располагающие объектами КИИ, обязаны подключаться к системе с 2018 г. и самостоятельно пересылать в нее сведения обо всех киберинцидентах, а также об их предотвращении.

Чем недовольна РАЭК

Свое недовольство новыми поправками представители РАЭК отразили в письме, направленном лично Александру Хинштейну 4 мая 2022 г. Основная идея письма – критика поправки об обязательном подключении к ГосСОПКА всех операторов персональных данных.

«Это потребует от операторов существенных затрат на строительство защищенных каналов связи со средствами криптографической защиты, причем коснется и всех бюджетных организаций» – говорится в письме РАЭК.

Свою позицию организация объясняет статистикой утечек персональных данных. Она указывает на то, что такие утечки чаще всего происходят не из-за внешнего взлома, а непосредственно по вине сотрудников организаций.

Помимо этого, в письме РАЭК поднимается вопрос о том, как связан с персональными данными россиян Национальный координационный центр по компьютерным инцидентам. Это оператор системы ГосСОПКА. Эксперты организации указывают, что в настоящее время всеми вопросами, касающимися обработки персональных данных в России ведает отдельный компетентный орган – Роскомнадзор.

В дополнение к этому в письме РАЭК упоминается необходимость возвращения в текст поправок к закону «О персональных данных» пункт, согласно которому операторам персональных данных предоставляется возможность не ставить Роскомнадзор в известность «о начале обработки информации в соответствии с трудовым законодательством, а также если доступ к данным не предоставляется третьим лицам». В нынешней редакции закона этот пункт имеется, но предложенные поправки исключают его. «Принятие инициативы в текущей версии приведет к тому, что все юрлица и частные предприниматели должны будут уведомлять Роскомнадзор о приеме на работу каждого нового сотрудника», – говорится в письме РАЭК.

Минцифры не поддержало РАЭК

Минцифры отреагировало на письмо РАЭК, в частности, на его часть, в которой упоминается НКЦКИ. Со слов представителей ведомства, Центр «показал свою эффективность» за последние два месяца. Также они отметили, что «персональные данные требуют надежных механизмов защиты, поэтому требования по взаимодействию операторов персональных данных с ГосСОПКА обоснованны».

Опасения РАЭК по части финансовых затрат при подключении к ГосСОПКА «стоит проработать напрямую с НКЦКИ», отметили представители Минцифры.

Бизнес на стороне РАЭК

Другие организации, в которых состоят крупные российские компании, разделяют мнение РАЭК о новых поправках к закону «О персональных данных». В частности, представители Ассоциации больших данных (АБД) полагают, что взаимодействие российского бизнеса с системой ГосСОПКА в обязательном порядке следует ограничить лишь случаями, «которые сопряжены с реальными рисками для граждан». Список таких случаев, считают в АБД, должно составить российское Правительство.

В состав АБД входят «Яндекс», Сбербанк, а также операторы МТС, «Мегафон» и др.

Различные эксеперты тоже выступают с критикой новой инициативы российских депутатов. Как сообщил «Коммерсанту» член комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Вадим Перевалов, требование законопроекта об обязательном уведомлении Роскомнадзора «создаст огромную административную нагрузку на бизнес». «Передавать требуется достаточно подробные сведения об обработке данных в короткие сроки — десять дней», – добавил он.

Представитель юридической фирмы DRС Евгений Кравченко сообщил изданию, что в настоящее время в России числится свыше 8 млн операторов персональных данных, включая индивидуальных предпринимателей. «Для них расходы на подключение к ГосСОПКА станут тяжелой ношей», – отметил он. «Основная проблема утечек персональных данных, по его мнению, невысокие штрафы за их компрометацию и низкий уровень института репутации в России. В такой ситуации бизнесу проще заплатить небольшой штраф, чем тратиться на системы защиты данных», – добавил Евгений Кравченко.

Эльяс Касми