Введение оборотных штрафов для компаний за утечку данных обосновано, считает министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев. Так он ответил на вопрос вице-президента Торгово-промышленной палаты РФ Максима Фатеева о том, можно ли рассмотреть возможность отмены оборотных штрафов для небольших компаний, т. к. 100% безопасности информационных систем обеспечить невозможно, а у малого и среднего бизнеса нет финансовых возможностей обеспечить должную защиту персональных данных. Фатеев предложил ввести необоротные штрафы или просто предупреждения для компаний, которые соблюдают законодательство и обеспечивают безопасность данных с помощью российского ПО.
«К сожалению, данные утекают не у малых компаний, а в основном значимые утечки у нас происходят в том числе у крупных цифровых платформ, экосистем, которые точно хорошо знают и умеют обеспечивать безопасность, — ответил Шадаев. — Здесь, наверное, действительно нельзя сказать, что бывают абсолютно безопасные системы. Но без введения оборотных штрафов нам кажется, что эту ситуацию не переломить, к сожалению. Потому что инфраструктура кибербезопасности требует больших вложений, зачастую результаты расследований утечек показывают, что бизнес на этом экономит. Несмотря на то что это (утечки данных — прим. ред.) приобретает массовый характер, это как-то не сильно побуждает бизнес инвестировать в инфраструктуру».
Шадаев добавил, что введение оборотных штрафов обосновано при соблюдении определенных условий. Компании будут наказываться за повторную крупную утечку, а также предусмотрен «коридор» размера штрафов от 0,1 до 3% выручки за год, предшествующий нарушению. У компании есть возможность получить штраф по нижней планке, если она добросовестно выполняла определенные требования: инвестировала в кибербезопасность, урегулировала отношения с не менее 80% пострадавших, подавших заявления, указал Шадаев.
«Наша задача — не собирать штрафы в бюджет, а чтобы бизнес соотносил объем потенциальных оборотных штрафов с теми необходимыми инвестициями, которые нужно тратить на свою инфраструктуру обеспечения информационной безопасности. Кажется, что это будет серьезным побудительным мотивом, чтобы бизнес начал вкладывать средства. Может быть, это гипотеза неправильная, но по-другому, как мы сейчас это видим, эту тенденцию не переломить», — отметил министр.