Всех операторов персональных данных — более 400 тысяч компаний в России, большая часть которых относится к малому и среднему бизнесу, хотят обязать подключаться и сообщать о киберинцидентах в ГосСОПКА — систему ФСБ, которая занимается предупреждением, обнаружением и ликвидацией последствий компьютерных атак.
Требование содержится во внесенном в Госдуму 8 декабря группой депутатов во главе с председателем комитета по безопасности Василием Пискаревым законопроекте о конфиденциальности данных силовиков, обнаружил «Коммерсант».
К операторам персональных данных по российским законам относится практически любая компания, работающая с данными клиентов, — например, все сайты с формой регистрации пользователей, интернет-магазины или офлайновые магазины, выдающие клиентам карты лояльности. Реестр таких компаний ведет Роскомнадзор, в нем 416 тысяч организаций.
Мера связана с дополнительной «гарантией обеспечения безопасности персональных данных защищаемых лиц», следует из пояснительной записки к законопроекту. По нынешнему закону, центры ГосСОПКА создают у себя органы власти, госкорпорации и другие организации, относящиеся к критической информационной инфраструктуре (КИИ). Они обмениваются данными с главным центром системы на базе 8-го центра ФСБ.
Реализация требования потребует серьезных затрат для МСП и расширения мощности системы, считает эксперт. «При этом не ясно, как дополнительные затраты будут способствовать защите персональных данных от рисков утечек, исходящих не от хакерских атак извне, а от самих сотрудников компаний, имеющих легитимный доступ к этой информации».
Подключить физических лиц, индивидуальных предпринимателей и малый бизнес к информированию государства о киберинцидентах через систему ФСБ планировали еще в рамках нацпроекта «Цифровая экономика» . Ответственными исполнителями по оказанию услуг подключения малого бизнеса к ГосСОПКА хотели назначить Сбербанк и его дочернюю компанию «Бизон». Но средств на это направление в итоге не выделили, отмечает «Коммерсант».