Операторов персональных данных могут обязать сообщать об инцидентах в ФСБ

Операторов персональных данных, включая малый и средний бизнес, могут обязать сообщать о киберинцидентах в Государственную систему предупреждения, обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА) ФСБ, пишет «Коммерсант». Требование содержится во внесенном в Госдуму законопроекте о конфиденциальности данных силовиков. В пояснительной записке отмечается, что эта мера станет дополнительной «гарантией обеспечения безопасности персональных данных защищаемых лиц».

Сейчас центры ГосСОПКА должны создавать у себя органы власти, госкорпорации и другие организации, относящиеся к критической информационной инфраструктуре (КИИ), согласно закону, который вступил в силу в январе 2018 года. Они должны обмениваться информацией с главным центром системы на базе 8-го центра ФСБ.

Эксперты удивлены, что в законопроект об отдельной категории граждан попало требование, распространяющееся фактически на все персональные данные. Реестр операторов таких данных ведет Роскомнадзор, в нем 416 тыс. организаций, пояснили они. Такое подключение требует организационных и технических усилий, что может повлечь существенные сложности и затраты для МСБ, а также иностранных компаний, считают эксперты. Также не ясно, как дополнительные затраты будут способствовать защите персональных данных от рисков утечек, исходящих не от хакерских атак извне, а от самих сотрудников компаний, имеющих доступ к этой информации.

Если власти все же решили обязать операторов персональных данных передавать информацию в ГосСОПКА, это грозит бизнесу затратами на приобретение софта и наем сотрудников либо на услуги коммерческих центров мониторинга киберугроз, отмечает бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. По его словам, пока даже объекты КИИ испытывают сложности с подключением к ГосСОПКА: для этого нужны поддержка софта с шифрованием данным по требованиям ФСБ, автоматизация круглосуточной передачи данных, а в ряде случаев и допуск к закрытой информации.