Оборотные штрафы должны заставить компании задуматься, что выгоднее: инвестировать в кибербезопасность или платить огромные деньги за инциденты.
Евгений Царев:
Оборотные штрафы — это один из самых эффективных вариантов борьбы с утечками. Именно отсутствие реальной ответственности привело к ситуации, когда для компаний нет мотивации инвестировать в безопасность. Существующие стандарты и лучшие практики подразумевают выделение служб информационной безопасности, назначение ответственных и т.п. В реальности все это есть, но структура рисков компании до оборотных штрафов такова, что выделение денег не имеет смысла. После появления оборотных штрафов ситуация может измениться в лучшую сторону, но необходимо качественное администрирование (исполнение). При этих двух условиях компании будут инвестировать в безопасность.
Пока неизвестно, будет ли в законопроекте обозначена ответственность подрядчиков или механизмы взаимодействия для обеспечения безопасности данных. Однако, некоторые эксперты уже предлагают решения для компаний, которые столкнулись с утечкой данных по вине подрядчика:
— Вообще в обработке часто участвуют несколько лиц. Например, разработчики информационных систем арендуют цоды, хостинги, или привлекают иные компании. И утечки часто происходят через таких лиц. Так вот операторы при факте утечки и последующем наложении штрафа смогут требовать в порядке регресса возмещение от таких лиц. Думаю, при новых реалиях и рисках операторы будут перераспределять ответственность с такими компаниями.
Источник: Инфобезопасность