Топ-менеджеров банков хотят на 10 лет отстранять от работы на занимаемой ими должности за неоднократную утечку данных, следует из законопроекта, подготовленного с участием ЦБ. Это должно помочь предотвращать сливы информации. В прошлом году сообщалось о миллионных утечках из крупнейших кредитных организаций. Однако в Национальном совете финансового рынка инициативу раскритиковали: если ее реализовать, то на рынке может попросту не остаться профильных специалистов, способных выстроить должную защиту.
Зачем отстранять от должности топ-менеджеров банков на 10 лет
В России собираются ввести специальные требования к квалификации и деловой репутации зампредов финансовых организаций, ответственных за информационную безопасность (ИБ). Законопроект, подготовленный при участии Банка России, есть в распоряжении «Известий». Сейчас он проходит процедуру межведомственного согласования, уточнили в ЦБ.
Документ предусматривает, в частности, повышение уровня персональной ответственности замглавы банка по ИБ за нарушения требований по защите информации, которые привели к утечке персональных данных или банковской тайны, сообщили в регуляторе. Документ касается не только банков, но также страховых компаний, пенсионных фондов и МФО.
Законопроект вводит десятилетний срок, в течение которого зампреду по ИБ запрещается занимать эту должность — в том случае, если до этого он работал в финансовой организации на этой же должности в период, когда там допускались нарушения требований к защите информации (и в течение года к ней неоднократно применялись некие меры).
Фактически это требование вводит десятилетний запрет на занятие должности заместителя по ИБ за сам факт наступления определенных событий, говорится в отзыве на законопроект Национального совета финансового рынка (НСФР, документ от 19 декабря есть у «Известий»).
В нынешней версии законопроекта получается, что связь непосредственно деятельности человека и его дисквалификации может вообще отсутствовать, считает глава НСФР Андрей Емелин. Например, если базу данных слил подчиненный-инсайдер, то его руководителя автоматически дисквалифицируют на 10 лет, даже если он никак не причастен к происшествию, подчеркнул он.
«При этом в уголовном и административном законодательстве даже для лиц, признанных виновными в совершении должностных преступлений, сроки наказаний в виде запрета занимать определенные должности составляют существенно меньше, чем 10 лет», — отмечается в отзыве НСФР.
Например, в УК лишение права занимать определенные должности или заниматься какой-то деятельностью устанавливается на срок от одного года до пяти лет. По административному кодексу, который регулирует в том числе сами нарушения в финансовой деятельности, сроки еще меньше — от полугода до трех лет, отметил Андрей Емелин.
В НСФР полагают, что запрет занимать должность замруководителя по ИБ на 10 лет несопоставим даже с наказаниями за более серьезные нарушения, несоразмерен, несправедлив и объективно избыточен. Также мера может усугубить и без того сложную ситуацию с нехваткой профильных специалистов. Если же человек не может долгое время работать по специальности, он рискует утратить необходимые навыки.
С учетом этого НСФР в своем отзыве предлагает снизить с 10 до трех лет срок, в течение которого запрещается занимать должность заместителя по ИБ.
Андрей Емелин напомнил, что несколько лет назад аналогичные требования к дисквалификации предлагалось ввести для специалистов по противодействию отмыванию денег и финансированию терроризма (ПОД/ФТ). И тогда банки также говорили о том, что работать в этой сфере станет попросту некому. В результате от подобной идеи отказались, резюмировал он.
«Известия» направили запросы в крупнейшие российские банки о том, как там относятся к законопроекту, а также в Минцифры и Минюст.
Поможет ли отстранение от должности предотвращать утечки данных
Ответственность главы компании за юрлицо, которым он руководит, — обыденная практика как для правопорядка РФ, так и для развитых государств, отметил старший партнер коллегии адвокатов Pen&Paper Валерий Зинченко. Санкции разнятся: от штрафа до дисквалификации (например, невозможность занимать руководящие должности или участвовать в совете директоров).
— Это действенная мера в силу специфики должности. Лицу, занимавшему руководящую позицию, после привлечения к ответственности маловероятно быстро найти сопоставимую занятость и из-за испорченной деловой репутации, и по юридическим причинам, — считает Валерий Зинченко.
Разрабатываемые Банком России законодательные инициативы в области персональной ответственности топ-менеджеров укладываются в понимание природы и цели такого наказания, резюмировал юрист. Все это направлено на повышение уровня защищенности чувствительной информации в финансовой сфере и делается это в том числе через ужесточение персональной ответственности руководства.
Число утечек в России постепенно растет. В 2023 году их было более 290, в результате злоумышленники получили доступ к 240 млн уникальных телефонных номеров и 123 млн e-mail-адресов российских пользователей, писали ранее «Известия». По объему слитых данных первой стала банковская отрасль (47% утекших телефонных номеров) и электронная коммерция (38% утекших e-mail-адресов), говорится в исследовании DLBI.
Например, в прошлом году в Сеть слили данные пользователей бонусной программы «СберСпасибо», сообщалось в Telegram-канале «Утечки информации», который ведет основатель сервиса DLBI Ашот Оганесян. Среди них — почти 48 млн уникальных номеров и 3,3 млн адресов почт. Впрочем, тогда в «СберСпасибо» говорили, что подобные сообщения связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных.
Кроме того, в сентябре тот же Telegram-канал сообщал о сливе данных из МТС-банка. Говорилось, что в открытый доступ попало три базы данных с 1 млн, 3 млн и 1,8 млн строк соответственно. В самой кредитной организации тогда заявляли, что утечка банковской тайны не подтвердилась, а инфраструктура МТС-банка не подвергалась атакам и данные пользователей вне опасности.
«Известия» направили запрос в Сбербанк и МТС-банк.
— Впрочем, сейчас ситуация с утечками в банковской отрасли не то чтобы прекрасная, но она выглядит лучше на фоне общей удручающей ситуации. Банкам удалось практически побороть инсайдеров, повсеместно внедрив DLP-системы, что привело к минимизации предложения баз и росту цен на пробив, — рассказал основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
Он добавил, что хакерские атаки также отражаются вполне успешно. В результате данные о счетах граждан, которые раньше составляли львиную долю утечек, теперь сливаются крайне редко.
— Не всегда утечка — следствие халатного или ненадлежащего исполнения обязанностей зампреда по ИБ. Даже напротив, гораздо чаще в этом виноваты конечные исполнители, — добавил гендиректор Safetech Lab Александр Санин.
Кроме того, по его словам, это может быть и в целом очень направленная целевая атака с задействованием различных техник и тактик, повлиять на которые это должностное лицо может лишь опосредованно.