Спецпроекты

Безопасность Госрегулирование Бизнес Законодательство Поддержка ИТ-отрасли

Российские специалисты по ИБ ходят под статьей. Им грозят 10 лет тюрьмы за выполнение своей работы. Закон уже принят

Российские безопасники могут стать фигурантами уголовных дел из-за принятых недавно поправок к УК РФ, касающихся персональных данных. ИБ-компании не на шутку обеспокоены этой проблемой, которая из ныне потенциальной может очень быстро стать реальной.

Кибербезопасник? В тюрьму

Российские компании из сферы кибербезопасности начали массово высказывать опасения по поводу потенциального уголовного преследования их сотрудников. Как пишет РБК, всему виной новые поправки к УК РФ, принятые в ноябре 2024 г. и касающиеся незаконного оборота персональных данных.

Нововведения направлены на борьбу с утечками персональных данных, которые в современной России стали чуть ли не ежедневной практикой.

По словам заместителя гендиректора ГК «Гарда» Рустэма Хайретдинова, новые положения Уголовного кодекса позволяют наказывать всех, у кого есть доступ к украденным персональным данным в интернете. А такой доступ есть не только у киберпреступников, но и у ИБ-специалистов, расследующих инциденты в сфере кибербезопасности, в том числе и утечки данных. Они «анализируют утечки, исследуют метаданные и образцы данных, чтобы определить характер и объем утечек», пишет РБК. «Сейчас экспертное сообщество активно работает с законодателями, чтобы разрешить эту правовую коллизию. Вариантов решения несколько: возможно, это будут определенного вида лицензии на право заниматься киберрасследованиями, по аналогии с «белыми хакерами», – сообщил изданию Хайретдинов.

Что грозит борцам с киберпреступностью

Документ, грозящий безопасникам тюрьмой, получил подпись Президента России Владимира Путина 30 ноября 2024 г. Он ввел в УК РФ новую статью – ст. 272.1 «незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения». Единственное исключение из нее – обработка персональных данных для личных нужд.

В России теперь можно лишиться свободы, просто выполняя работу и защищая граждан от утечек персональных данных

Тех, кого осудили по этой статье, ждут штраф до 300 тыс. руб. и до четырех лет лишения свободы за незаконное использование, передачу, сбор или хранение данных, полученных неправомерным путем.

Также можно получить до пяти лет лишения свободы или отделаться принудительными работами, если преступление совершено с использованием данных несовершеннолетних, биометрии или специальных категорий данных. В дополнение полагается штраф до 700 тыс. руб..

Если перечисленные деяния привели к крупному ущербу или были совершены с корыстным мотивом, то наказание последует в виде заключения сроком до шести лет и штрафа до 1 млн руб.

До восьми лет лишения свободы и штраф до 2 млн руб. осужденный ст 272.1 УК РФ получит за трансграничную передачу данных. Также его могут посадить на 10 лет и потребовать штраф до 3 млн руб. за преступления с тяжкими последствиями или совершенные организованной группой.

Те, кто решил организовать ресурс или ресурсы для не законного оборота данных, рискуют получить штраф до 700 тыс. руб. или до пяти лет лишения тюрьмы.

Компании в панике

Как сообщил РБК эксперт направления безопасности промышленных предприятий компании Infosecurity (ГК Softline) Александр Метальников, в профессиональной ИБ-среде действительно ведутся разговоры на тему новой статьи УК РФ и ее последствий для кибербезопасников. В дискуссии участвуют только представители ИБ-сферы – законодатели к ней еще не подключились, уточнил Метальников.

Он подчеркнул, что еще во время второго чтения законопроекта в Госдуме было внесено предложение о добавлении в текст документа исключений для тех, кто занимается легитимным, то есть легальным анализом похищенных персональных данных. Однако авторы законопроекта эту идею решили проигнорировать и не стали включать ее в текст.

«В результате ряд компаний, осуществлявших анализ утечек в даркнете, приостановили свою деятельность в этой области, – сказал Метальников РБК. – Одним из решений проблемы могло бы стать введение исключений для организаций с лицензиями Федеральной службы по техническому и экспортному контролю, которые занимаются мониторингом информационной безопасности».

Главный эксперт «Лаборатории Касперского» Сергей Голованов открыто заявил, что информацию в даркнете или на теневых Telegram-каналах с персональными данными исследуют не только киберпреступники, но и ИБ-эксперты, чтобы уведомить об утечках пострадавших клиентов. «Сейчас отрасль опасается, что такие действия могут попасть под действие УК. Важно, чтобы была предусмотрена возможность продолжить официально оказывать такие услуги. Например, чтобы регулятор выдавал разрешение на подобную работу», – сказал РБК Голованов.

Все недовольны

Очень многие российские ИБ-компании из числа крупнейших высказывают недовольство и опасения в отношении новых поправок к УК РФ. Среди них и «К2 Кибербезопасность».

Руководитель направления консалтинга в этой компании Ольга Трофимова уверена, что рано или поздно оказание ИБ-специалистом или ИБ-компанией услуг по защите информации может быть квалифицировано в качестве неправомерного доступа к ним. Она привела РБК ряд примеров, когда работники ИБ-сферы могут стать фигурантами уголовных дел, просто выполняя свою работу.

Бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий заявил РБК, что в ИБ-сфере распространилось мнение о том, что «любая незаконная обработка персональных данных может попасть под действие новой статьи УК».

При этом под «незаконной обработкой» в настоящее время подразумевается, в числе прочего, передача персональных данных без согласия владельца, отметил Лукацкий, например в рамках группы компаний. Также он привел в пример «неверную форму согласия на обработку персональных данных, обработку cookies», и ряд других примеров, которые, как пишет РБК, «раньше рассматривались как некритичные либо попадали под административное наказание». Теперь же они будут рассматриваться с точки зрения нового состава преступления,

Никакой конкретики

Представители власти, с которыми поговорили специалисты РБК, не дали внятного ответа, будут ли безопасников судить по новой статье. Как сказал РБК член Совета Федерации, заместитель председателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин, нарушением этой статьи будет считаться «незаконный оборот компьютерной информации, которая получена незаконным путем и содержит персональные данные». Он добавил также, что если безопасники «действуют на основании договоров с заказчиками, соблюдают законы и не нарушают права третьих лиц, то их действия не подпадают под незаконный оборот». «Мы готовы рассматривать предложения отрасли, если практика применения закона потребует дополнительного обсуждения», – подытожил Шейкин.

В Минцифры сказали РБК, что под действие новых поправок у Уголовному кодексу подпадают только мошенники, осуществляющие доступ и распространяющие утекшие данные, но не добросовестные граждане. Но как именно закон отличает преступников от ИБ-специалистов, представители Минцифры не уточнили.

Геннадий Ефремов

Короткая ссылка