Пресса о страховании, страховых компаниях и страховом рынке

Известия, 22 января 2024 г.

10 лет без права: топ-менеджеров банков дисквалифицируют за утечки данных

Поможет ли это бороться со сливами и почему на рынке может не остаться профильных специалистов

840 просмотров

Топ-менеджеров банков хотят на 10 лет отстранять от работы на занимаемой ими должности за неоднократную утечку данных, следует из законопроекта, подготовленного с участием ЦБ. Это должно помочь предотвращать сливы информации. В прошлом году сообщалось о миллионных утечках из крупнейших кредитных организаций. Однако в Национальном совете финансового рынка инициативу раскритиковали: если ее реализовать, то на рынке может попросту не остаться профильных специалистов, способных выстроить должную защиту.

Зачем отстранять от должности топ-менеджеров банков на 10 лет

В России собираются ввести специальные требования к квалификации и деловой репутации зампредов финансовых организаций, ответственных за информационную безопасность (ИБ). Законопроект, подготовленный при участии Банка России, есть в распоряжении «Известий». Сейчас он проходит процедуру межведомственного согласования, уточнили в ЦБ.

Документ предусматривает, в частности, повышение уровня персональной ответственности замглавы банка по ИБ за нарушения требований по защите информации, которые привели к утечке персональных данных или банковской тайны, сообщили в регуляторе. Документ касается не только банков, но также страховых компаний, пенсионных фондов и МФО.

Законопроект вводит десятилетний срок, в течение которого зампреду по ИБ запрещается занимать эту должность — в том случае, если до этого он работал в финансовой организации на этой же должности в период, когда там допускались нарушения требований к защите информации (и в течение года к ней неоднократно применялись некие меры).

Фактически это требование вводит десятилетний запрет на занятие должности заместителя по ИБ за сам факт наступления определенных событий, говорится в отзыве на законопроект Национального совета финансового рынка (НСФР, документ от 19 декабря есть у «Известий»).

В нынешней версии законопроекта получается, что связь непосредственно деятельности человека и его дисквалификации может вообще отсутствовать, считает глава НСФР Андрей Емелин. Например, если базу данных слил подчиненный-инсайдер, то его руководителя автоматически дисквалифицируют на 10 лет, даже если он никак не причастен к происшествию, подчеркнул он.

«При этом в уголовном и административном законодательстве даже для лиц, признанных виновными в совершении должностных преступлений, сроки наказаний в виде запрета занимать определенные должности составляют существенно меньше, чем 10 лет», — отмечается в отзыве НСФР.

Например, в УК лишение права занимать определенные должности или заниматься какой-то деятельностью устанавливается на срок от одного года до пяти лет. По административному кодексу, который регулирует в том числе сами нарушения в финансовой деятельности, сроки еще меньше — от полугода до трех лет, отметил Андрей Емелин.

В НСФР полагают, что запрет занимать должность замруководителя по ИБ на 10 лет несопоставим даже с наказаниями за более серьезные нарушения, несоразмерен, несправедлив и объективно избыточен. Также мера может усугубить и без того сложную ситуацию с нехваткой профильных специалистов. Если же человек не может долгое время работать по специальности, он рискует утратить необходимые навыки.

С учетом этого НСФР в своем отзыве предлагает снизить с 10 до трех лет срок, в течение которого запрещается занимать должность заместителя по ИБ.

Андрей Емелин напомнил, что несколько лет назад аналогичные требования к дисквалификации предлагалось ввести для специалистов по противодействию отмыванию денег и финансированию терроризма (ПОД/ФТ). И тогда банки также говорили о том, что работать в этой сфере станет попросту некому. В результате от подобной идеи отказались, резюмировал он.

«Известия» направили запросы в крупнейшие российские банки о том, как там относятся к законопроекту, а также в Минцифры и Минюст.

Поможет ли отстранение от должности предотвращать утечки данных

Ответственность главы компании за юрлицо, которым он руководит, — обыденная практика как для правопорядка РФ, так и для развитых государств, отметил старший партнер коллегии адвокатов Pen&Paper Валерий Зинченко. Санкции разнятся: от штрафа до дисквалификации (например, невозможность занимать руководящие должности или участвовать в совете директоров).

— Это действенная мера в силу специфики должности. Лицу, занимавшему руководящую позицию, после привлечения к ответственности маловероятно быстро найти сопоставимую занятость и из-за испорченной деловой репутации, и по юридическим причинам, — считает Валерий Зинченко.

Разрабатываемые Банком России законодательные инициативы в области персональной ответственности топ-менеджеров укладываются в понимание природы и цели такого наказания, резюмировал юрист. Все это направлено на повышение уровня защищенности чувствительной информации в финансовой сфере и делается это в том числе через ужесточение персональной ответственности руководства.

Число утечек в России постепенно растет. В 2023 году их было более 290, в результате злоумышленники получили доступ к 240 млн уникальных телефонных номеров и 123 млн e-mail-адресов российских пользователей, писали ранее «Известия». По объему слитых данных первой стала банковская отрасль (47% утекших телефонных номеров) и электронная коммерция (38% утекших e-mail-адресов), говорится в исследовании DLBI.

Например, в прошлом году в Сеть слили данные пользователей бонусной программы «СберСпасибо», сообщалось в Telegram-канале «Утечки информации», который ведет основатель сервиса DLBI Ашот Оганесян. Среди них — почти 48 млн уникальных номеров и 3,3 млн адресов почт. Впрочем, тогда в сервисе говорили, что подобные сообщения связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных.

Кроме того, в сентябре тот же Telegram-канал сообщал о сливе данных из МТС-банка. Говорилось, что в открытый доступ попало три базы данных с 1 млн, 3 млн и 1,8 млн строк соответственно. В самой кредитной организации тогда заявляли, что утечка банковской тайны не подтвердилась, а инфраструктура МТС-банка не подвергалась атакам и данные пользователей вне опасности.

«Известия» направили запрос в Сбербанк и МТС-банк.

— Впрочем, сейчас ситуация с утечками в банковской отрасли не то чтобы прекрасная, но она выглядит лучше на фоне общей удручающей ситуации. Банкам удалось практически побороть инсайдеров, повсеместно внедрив DLP-системы, что привело к минимизации предложения баз и росту цен на пробив, — рассказал основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.

Он добавил, что хакерские атаки также отражаются вполне успешно. В результате данные о счетах граждан, которые раньше составляли львиную долю утечек, теперь сливаются крайне редко.

— Не всегда утечка — следствие халатного или ненадлежащего исполнения обязанностей зампреда по ИБ. Даже напротив, гораздо чаще в этом виноваты конечные исполнители, — добавил гендиректор Safetech Lab Александр Санин.

Кроме того, по его словам, это может быть и в целом очень направленная целевая атака с задействованием различных техник и тактик, повлиять на которые это должностное лицо может лишь опосредованно.

Наталья ИЛЬИНА

В материале упоминаются: Компании, организации: Центральный банк Российской Федерации (Центробанк, Банк России, ЦБ РФ) 36840

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »