- 11 мая, 2025
- 52
Инцидент инциденту рознь

В конце мая текущего года вступают в силу изменения в законах о персональных данных и кибербезопасности, которые усилят ответственность бизнеса. Директор дирекции информационной безопасности АО «СОГАЗ» Георгий Старостин рассказал в своем интервью о том, к каким последствиям это приведет, в том числе, с точки зрения развития киберстрахования.
ССТ: Какими законами обеспечивается защита персональных данных?
Георгий Старостин: Главный закон в этой области — это Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», в котором прописаны, собственно, все основополагающие принципы по защите персональных данных. Административная ответственность за их нарушение предусмотрена Кодексом Российской Федерации об административных правонарушениях. На данный момент этот закон предусматривает для компаний максимальные штрафы до 1,5 млн руб. На практике средний размер штрафа составляет от 30 до 300 тыс. руб.
Если говорить в целом о ситуации с утечкой персональных данных, то специалисты посчитали, что на каждого человека в России утекло не менее десяти строк, содержащих персональные данные.
ССТ: Как изменится нормативная база?
Г. С.: С 30 мая текущего года минимальный размер первичного штрафа за утечку персональных данных будет составлять от 3 до 15 млн руб. При повторном нарушении — от 1 % до 3 % оборота компании, но не более 500 млн руб. Думаю, при таких штрафах повышается риск сокрытия компаниями информации об утечках. Но тут важно понимать, что утечка и киберинцидент — не синонимы. Каждая утечка — это киберинцидент, но не каждый киберинцидент является утечкой персональных данных.
Что нужно делать для защиты персональных данных, сейчас уже описано в различных нормативных документах. Есть приказ ФСТЭК России от 11 февраля 2013 года № 17, содержащий требования к государственным информационным системам, есть приказ ФСТЭК России от 18 февраля 2013 года № 21 о мерах по обеспечению безопасности персональных данных при их обработке в информационных системах, есть ГОСТ Р 57580.1 — национальный стандарт по защите информации финансовых организаций и так далее.
Эти документы предписывают, что компания должна предпринимать те или иные технические или организационные меры для защиты персональных данных: периметр, в котором данные находятся, должен быть контролируемым, должны использоваться средства защиты. Главное сейчас — обеспечить выполнение этих мер с точки зрения наличия необходимого оборудования, налаживания процессов его обслуживания, мониторинга систем, создания мер реагирования и др.
На данный момент самая зарегулированная отрасль в части информационной безопасности, по моей оценке, это, все-таки, финансовый сектор.
ССТ: Достаточно ли таких средств и методов защиты данных?
Г. С.: Если говорить про защиту персональных данных, то в части регулирования меры всегда немного запаздывают относительно лучших практик, потому что сначала появляется угроза, а только потом разрабатываются технические и организационные меры реагирования. И только через какое-то время все эти защитные меры попадают в нормативные документы. Цикл от появления угрозы до реакции в нормативных документах обычно составляет от нескольких месяцев до нескольких лет.
Самая зарегулированная отрасль в части информационной безопасности — это финансовый сектор
ССТ: Как отреагирует бизнес на ужесточение санкций за утечки данных?
Г. С.: Я предполагаю, что степень защиты информационных систем со стороны бизнеса будет увеличиваться вне зависимости от желаний бизнеса, потому что размер штрафов очень сильно изменится с 30 мая 2025 года.
Рынок киберстрахования сейчас должен получить новый драйвер роста, поскольку работы по восстановлению системы после киберинцидентов, меры по расследованию инцидентов требуют достаточно больших затрат.
Мы уже видим, что новый закон заставил компании задуматься об управлении рисками, связанными с утечкой персональных данных, видим и соответствующий рост запросов на такое страхование.
ССТ: А разве страхование в принципе штрафы покрывает?
Г. С.: Нет, страхование штрафы не покрывает. Но страхование покрывает восстановительные работы, которые могут выливаться в сотни миллионов рублей для крупного бизнеса.
Давайте рассмотрим ситуацию с «шифровальщиком»: после работы этого вредоносного ПО деятельность компании останавливается целиком. Время восстановления может составлять от нескольких недель до года, и в это время процессы в компании либо не работают совсем, либо работают гораздо хуже. Соответственно, компания недополучает прибыль.
Вторая составляющая расходов — это цена самих работ по восстановлению систем, потому что часто приходится собирать системы заново, пытаться как-то восстановить данные, привлекать специалистов узкого профиля. А труд такого специалиста — это дорогой вид работ.
ССТ: В чем вы видите главную сложность развития киберстрахования?
Г. С.: Главная сложность — это неготовность страхователей предоставлять информацию о рискозащищенности, неготовность передавать третьей стороне результаты аудита кибербезопасности. В связи с этим страховщики полноценно не могут оценить риск и не выделяют большие емкости.
Кроме того, страхователи не всегда адекватно оценивают риск в данной сфере, и, соответственно, не понимают, какие плюсы они получат от адекватной оценки.
Страхование — это, все-таки, финансовая защита, им нельзя подменять меры информационной безопасности. Но всегда есть вероятность непрогнозируемых рисков: на уровне системных мер компания сделала все, что смогла, но человеческий фактор исключить нельзя. Как раз для этого и существует киберстрахование.
Можно ожидать, что с развитием технологий количество кибератак продолжит расти, при этом успешность предотвращения этих рисков будет напрямую зависеть от защищенности информационных систем и от уровня развития культуры кибербезопасности в целом.
ССТ: Как, на ваш взгляд, будет развиваться рынок киберстрахования?
Г. С.: Прежде всего, продукты по киберстрахованию должны разбиваться на классы, начиная от самых простых коробочных полисов страхования и заканчивая «тяжелым» страхованием больших организаций, где будет обеспечен индивидуальный подход к потребностям бизнеса. То есть, линейка страховых продуктов должна включать как самый минимальный набор рисков, так и полную защиту информационной составляющей компании.
Главная сложность киберстрахования — это неготовность страхователей предоставлять информацию о рискозащищенности
Например, в СОГАЗе мы предлагаем клиентам два основных подхода по страхованию ответственности за разглашение персональных данных. Первый — коробочный продукт для малых и средних предприятий, предполагающий типовые условия и возможность оперативного заключения договора страхования. Второй — страховка киберрисков с индивидуальным подходом к покрытию и оценке рисков.
Но надо понимать: если защищать бизнес целиком с одинаковым подходом к разным типам активов, то, скорее всего, для компаний нагрузка будет слишком большой. Поэтому тут логично движение в сторону разделения компании в целях обеспечения киберстрахования на разные классы активов. Например, Автоматизированная Банковская Система (АБС) — это критический объект, который должен страховаться по максимальным критериям его восстановления, в отличие от компьютеров линейных работников.
По сути, это должны быть две разные зоны страхования в рамках одной программы страхования. АБС должна быть хорошо защищена, застрахована от ошибки, потому что потеря данных на этом участке, возможно, смертельна для бизнеса. А что касается компьютера линейного работника– да, это неприятный инцидент, который тоже можно и нужно страховать, но ущерб здесь точечный, поэтому требования к страховой защите могут быть ниже. То есть, допустимы разные требования по страхованию к разным контурам.
ССТ: Есть ли какие-то отличия нашего подхода от, например, подхода Европы или Америки к защите персональных данных в контексте законодательства?
Г. С.: Существуют два принципиально разных подхода. В Европе все построено на основополагающем постулате, что данные нужно защищать. А список требований при этом не детализирован. Европейские регуляторы говорят, что именно вы должны защищать, а как это делать — решайте сами.
В России выполнение нормативных требований в сфере защиты данных осуществляется по иному принципу: есть мера, прописанная в законах, — она должна быть выполнена.
ССТ: С вашей точки зрения, как эксперта в этой области, какие плюсы и минусы двух этих подходов — что более, а что менее эффективно на практике?
Г. С.: На практике более эффективны те компании, которые сами задумываются о защите своих информационных систем, персональных данных своих клиентов и работников, вне зависимости от законодательства. Золотой середины не бывает, нормативные требования очень сильно зависят от менталитета, от подхода к регуляторике в разных странах. И поэтому первичным драйвером для компаний должна быть самомотивация и инвестиции в собственную безопасность.