Подавляющее большинство российских компаний не соответствует регуляторным требованиям федерального закона №152-ФЗ "О персональных данных", почти треть из них даже не знает, с чего начать обновление внутренних систем безопасности. Только 30% организаций занимаются актуализацией политики безопасности, проводят аудит ПД и обновляют средства защиты.
Согласно исследованию ООО «К2Тех», только 30% российских компаний соответствуют регуляторным требованиям федерального закона 152-ФЗ «О персональных данных», то есть актуализируют политику безопасности, проводят регулярный аудит персональных данных и обновляют средства защиты с учетом необходимости обезличивания персональных данных. Эти данные — результат анонимных опросов ИТ- и ИБ-специалистов более 120 российских организаций среднего и крупного бизнеса.
По словам старшего аналитика по кибербезопасти в «К2 Кибербезопасность» Анны Шарлай, из 70% отечественных организаций, не соответствующих требованиям законодательства, 39% разработали маршрутную карту и занимаются апгрейдом внутренних систем, а 31% не имеют на него ресурсов или не знают, с чего начать. Она отметила, что это сигнал масштабной проблемы, и назвала требования закона «базой» кибербезопасности при текущем уровне угроз.
Анна Шарлай сообщила корреспонденту ComNews, что точных данных с разбивкой по отраслям нет. Однако ее опыт показывает, что ретейл быстрее остальных принимает новые условия рынка и внедряет соответствующие меры. По ее словам, результаты нового опроса не сильно отличаются от более ранних: большинство еще не перестроилось и не адаптировалось к новым правилам.
«Причин много: от нехватки бюджетов и компетентных ИБ-специалистов до вызовов импортозамещения. При этом мы видим положительную динамику. Трансформация подходов к защите данных идет не так быстро, как того требует текущий уровень киберугроз, но принятие поправок к ФЗ-152 в этом мае дало дополнительный толчок этому процессу», — сказала она.
«С вступлением в силу поправок к №152-ФЗ компаниям запрещаются сбор, обработка и хранение персональных данных в облачных сервисах иностранных вендоров, так как их серверы находятся за рубежом. При этом в ходе опроса 44% респондентов заявили, что используют в работе облачные сервисы Google, Office 365, CRM и т.д. Подобный подход создает серьезные правовые и операционные риски для бизнеса, так как в процессе использования зарубежных облаков возможна незапланированная трансграничная передача персональных данных», — говорится в сообщении компании.
Руководитель практики импортозамещения «К2 Coud» Максим Завьялов отметил, что размещение информации россиян на зарубежных серверах — прямое нарушения закона и зависимость от политики иностранного провайдера. Политика, по его словам, может измениться в одностороннем порядке и не учитывать требования российских регуляторов.
«Чуть больше половины (54%) респондентов обращают внимание на сертификации ФСТЭК при выборе продуктов для защиты данных. При этом закон обязывает использовать исключительно сертифицированные решения все организации с ГИС (геоинформационная система, предназначенная для сбора, хранения, анализа и визуализации пространственных данных) и критической информационной инфраструктурой — это широкий список отраслей: энергетика, транспорт, ИТ и телеком, финсектор, здравоохранение, образование и т. Для всех остальных такого прямого требования нет, но если компания не использует сертифицированные средства защиты, ей нужно будет самостоятельно проводить оценку соответствия требованиям законодательства РФ», — гласит сообщение «К2Тех».
Адвокат, советник практики «Интеллектуальная собственность» ООО «Имправо» (юридическая компания Impravo) Татьяна Кархалева склонна верить статистике «К2Тех». Она отметила, что, согласно результатам ее общения с клиентами, многие из них не осведомлены о требованиях к сбору и хранению персональных данных, а знающие не всегда готовы платить юристам и специалистам по информационной безопасности, чтобы привести все в порядок.
«Основное требование по хранению персональных данных — это то, что они должны записываться, систематизироваться, накапливаться, храниться в базах данных, размещенных на серверах, находящихся на территории Российской Федерации. Если данные собираются в России, но передаются за границу, то нужно оформить трансграничную передачу. Многие боятся этого процесса, но у нас был такой опыт оформления неоднократно — дорогу осилит идущий», — сказала она.
С Татьяной Кархалевой согласилась ведущий юрист ООО «ЮК «Инфорс» (Enforce Law Company) Юлия Барышева. Она заметила, что с 1 июля 2025 г. вступили в силу изменения в федеральный закон «О персональных данных», согласно которым первичный сбор и хранение последних должны осуществляться исключительно на территории РФ. Трансграничная передача данных для их хранения на зарубежных серверах допустима после выполнения ряда условий.
«За нарушение требований, предъявляемых к хранению персональных данных, оператор может быть привлечен к административной ответственности по ст.13.11 КоАП РФ. Так, невыполнение оператором условий, обеспечивающих сохранность персональных данных при хранении материальных носителей и исключающих несанкционированный к ним доступ, влечет наложение административного штрафа на юридических лиц — от 50 тыс. до 100 тыс. руб. За первичный сбор и хранение персональных данных граждан РФ на серверах, расположенных за пределами России, компанию могут оштрафовать на сумму от 1 млн до 6 млн руб. При этом за повторные нарушения размер штрафов кратно увеличивается. При наличии признаков уголовно наказуемого деяния возможно привлечение физического лица к уголовной ответственности по ст.137 или ст.272.1 УК РФ», — отметила она.
Юлия Барышева рассказала, что в судебной практике уже есть случаи привлечения операторов к ответственности за несоблюдение требований к хранению персональных данных. Как минимум одна компания (Ookla LLC H) получила штраф в размере 6 млн руб. за необеспечение хранения ПД на территории России.
«В нашей практике были случаи участия в проверках, проводимых Роскомнадзором, но нам удавалось доказать невиновность клиентов или убедить контролирующий орган в малозначительности совершенного проступка. Основанием для проведения проверки чаще всего являлась жалоба. Мониторинг судебной практики показывает, что Роскомнадзор планово проверяет крупные компании. Например, ПАО «Аэрофлот» было подвергнуто проверке, в отношении него вынесены акт и предписание, который потом компания успешно обжаловала в суде (дело №А40-163911/2021)», — сказала Татьяна Кархалева.
С результатами исследования согласился архитектор клиентского опыта будущего ООО «Юзергейт» (UserGate) Михаил Кадер. Он отметил, что персональные данные на каждого жителя РФ утекли примерно 100 раз, а попытки регулирования и применения штрафов за утечки ни к чему не приводят.
«Речь идет не про реальную защиту данных, а про в первую очередь защиту на бумаге. Мы наблюдаем классическую ситуацию: если требования ИБ противоречат построенным бизнес-процессам, то меняют их крайне неохотно. Почему так происходит? Просто потому, что процесс проверок так устроен. Обычно в первую очередь проводятся документарные проверки соответствия требованиями 152-ФЗ. Технические проверки формулируются примерно вот так: «Проверьте, что все применяемые технические средства (аппаратные и программные) имеют необходимые сертификаты соответствия требованиям законодательства РФ». Как реально установлены и настроены эти самые технические средства, как фактически реализован процесс управления ИБ — это на самом деле основной вопрос. На который исследование «K2Тех» и дает ответ. При этом, обратите внимание, «K2Тех» исследовал крупные и средние компании. Если бы они посмотрели на малые компании, то цифры были бы еще более шокирующими», — отметил он.
По мнению Михаила Кадера, надзорные органы не приходят с проверками ко многим представителям среднего и малого бизнеса из-за их размеров. А идею штрафовать его представителей за данные, уже находящиеся в Сети, он назвал неразумной и спорной.
«Вот и получается порочный замкнутый круг — проверяем на бумаге, как защищается то, что уже утекло, потому что так проще. Можно ли его разорвать? Возможно, да. А возможно, и нет, потому что время, которое потребуется, чтобы утекшие миллиарды персональных данных стали устаревшими, — несколько поколений. Правильными шагами, на мой взгляд, было бы не увеличение штрафов, а организация надежных государственных сервисов подтверждения идентичности без необходимости давать свои персональные данные в рамках подписания согласий на их обработку. И многое для этого, кстати, уже сделано и сейчас», — заключил он.
