Для расследования утечек требуются лицензия и капитал — Минцифры рассматривает возможность исключений.

Кто сможет легально заниматься расследованием утечек данных?

Бизнес и регуляторы обсуждают возможность легализации деятельности по расследованию утечек персональных данных — в частности, освобождение от уголовной ответственности, которая сегодня грозит за незаконное использование и передачу такой информации. Об этом рассказала директор по стратегическим проектам Ассоциации больших данных (АБД) Ирина Левова на конференции Data Fusion. По её словам, такая инициатива касается как профильных ИБ-компаний, так и организаций с высоким уровнем зрелости в сфере информационной безопасности, для которых работа с утечками — не основной вид деятельности. Вопрос прорабатывается на площадке Минцифры, но, как уточняет АБД, проект пока в доработке.

Действующий закон, вступивший в силу в декабре 2024 года, предусматривает уголовную ответственность за незаконный сбор, передачу, хранение или использование персональных данных. Нарушителям грозят штрафы, принудительные работы или лишение свободы сроком до четырёх лет. Если утечка произошла за рубеж и повлекла серьёзные последствия, срок наказания может достигать 10 лет.

Согласно предлагаемым поправкам, уголовная ответственность не будет распространяться на компании, которые расследуют утечки в рамках защиты персональных данных своих клиентов. Также освобождение от ответственности планируется для крупных игроков на рынке ИБ, если у них есть лицензия на техническую защиту конфиденциальной информации. Предлагаемые критерии: капитал не менее 1 млрд рублей либо от 100 млн при условии, что более половины выручки приходится на сферу информационной безопасности.

Минцифры подтвердило Forbes, что предложения АБД обсуждаются совместно с профильными ведомствами и участниками отрасли.

В самой АБД подчёркивают, что ужесточение законодательства — логичный шаг, но важно чётко разграничить, когда работа с персональными данными считается законной, чтобы избежать неоднозначного толкования на практике.

К «серым зонам» АБД относит, например, внутренние расследования инцидентов силами ИБ-отделов, установление принадлежности утечки конкретной компании, действия по защите пользователей, чьи данные скомпрометированы, уведомление Роскомнадзора о произошедшем, а также проведение пентестов. Сейчас рассматривается модель, при которой такие действия смогут легально выполнять либо компании с высокой зрелостью ИБ-процессов, либо лицензированные игроки рынка. Регулятору при этом необходимо понимать, кто именно имеет такое право и по каким критериям.

Один из источников Forbes отметил, что текущее законодательство ставит под угрозу самих ИБ-специалистов — их работа может быть расценена как уголовно наказуемая. Другой собеседник добавил, что сегодня многие действуют на свой страх и риск, включая мониторинг даркнета на предмет утекших данных клиентов. По его мнению, введение порога капитала поможет отсечь теневых игроков, но критерии допуска всё ещё нуждаются в доработке.

Эксперты считают, что инициатива может сделать расследование утечек более прозрачным и безопасным. Сейчас даже просмотр скомпрометированных данных без официального разрешения может повлечь уголовную ответственность. Юристы подчёркивают: любое обращение с такими данными сегодня формально запрещено законом.

В то же время специалисты предупреждают и о возможных рисках: предлагаемые изменения могут усилить позиции крупных компаний, снизить конкуренцию и заставить малые фирмы передавать проекты подрядчикам. Это, в свою очередь, может усложнить взаимодействие в отрасли и увеличить стоимость услуг. По мнению некоторых экспертов, поправки больше ориентированы на интересы крупных игроков ИБ-рынка, пострадавших от ужесточения законодательства в конце 2024 года.