Роскомнадзору могут расширить полномочия для контроля утечек данных

Роскомнадзор (РКН) может получить разрешение на проведение без поручения прокуратуры внеплановых проверок компаний в связи с информацией об утечках данных. Такие проверки позволят своевременно выявлять причины возникновения утечек и предотвращать новые. Соответствующий законопроект комитет по информационной политике, информационным технологиям и связи планирует внести в Госдуму до конца декабря. Об этом сообщил председатель комитета Александр Хинштейн («Единая Россия») 21 декабря на пресс-конференции по итогам осенней сессии палаты.

«У уполномоченных органов должна быть возможность для проведения проверки. В нашем законопроекте предусматривается, что сам факт наличия информации об утечке будет являться основанием для проверки вне рамок моратория [на внеплановые проверки бизнеса]», – заявил Хинштейн.

Мораторий, установленный в марте 2022 г., распространяется и на плановые проверки со стороны РКН в отношении аккредитованных российских IT-компаний, уточнил партнер юридической фирмы «Рустам Курмаев и партнеры» Дмитрий Горбунов.

«Сегодня, к сожалению, проверка РКН утечки персональных данных происходит по достаточно сложной схеме: должно быть или решение правительства, или поручение прокуратуры. И даже понимая и зная, что эта утечка есть, без таких полномочий РКН прийти и проверить не может», – пояснил Хинштейн.

Хинштейн отметил, что обязанность РКН согласовывать проверки с органами прокуратуры предлагается сохранить, так как «это исключит риски излишнего административного давления на бизнес».

«Информационная среда отличается от других сфер контроля тем, что в ней возникающие угрозы быстро распространяются среди широкого круга пользователей, начиная оказывать негативное воздействие сразу. В связи с этим меры реагирования на такие угрозы должны приниматься незамедлительно, без дополнительных согласований или выездных проверок», – прокомментировал инициативу комитета представитель РКН.

В 2023–2024 гг. внеплановые проверки проводятся только по определенному перечню оснований и по согласованию с прокуратурой, поясняет советник практики «МЭФ Legal» Оксана Павлухина. По ее словам, проверку можно провести при выявлении индикаторов риска нарушения обязательных требований, при угрозе причинения вреда жизни и тяжкого вреда здоровью граждан или по поручению премьера или президента.

РКН и сейчас может проводить внеплановые проверки в отношении российских аккредитованных IT-компаний, продолжает Павлухина. Она поясняет, что это возможно, если установлено, что в интернете распространяются базы с персональными данными, у которых есть признаки принадлежности аккредитованной организации. Но инициировать проверку сам РКН не может, требуется поручение прокуратуры или правительства.

В 2023 г. суды уже рассмотрели 87 составленных РКН протоколов по факту утечек персональных данных и назначили штрафы на общую сумму более 4,6 млн руб., сообщали «Ведомости» в начале декабря. С января по октябрь 2023 г. в публичный доступ попали данные более чем 330 российских организаций, сообщил «Ведомостям» эксперт центра мониторинга внешних цифровых угроз Solar Aura ГК «Солар» Александр Вураско со ссылкой на данные центра. Он добавил, что общий объем опубликованных данных составил 103,4 ТБ и 4,8 млрд строк данных, среди них более 200 млн телефонных номеров и 142 млн адресов электронной почты.

Выступая на пресс-конференции, Хинштейн отметил, что в следующем году комитет планирует продолжить работу над законопроектами, связанными с обработкой персональных данных, усилением контроля по заключению договоров по оказанию услуг связи с физлицами и юрлицами, а также с ужесточением требований к продаже сим-карт, в том числе иностранным гражданам.

Кроме того, Хинштейн рассказал, что комитет планирует «[предусмотреть] ответственность за утечки, связанные с работой Единой биометрической системы (ЕБС)».

ЕБС создали в 2018 г. по инициативе Минкомсвязи (предшественник Минцифры) и Банка России, а в конце 2021 г. она получила статус государственной. ЕБС хранит лишь слепки лица и голоса – в ней не содержится такой информации, как ФИО, адрес, паспорт и др. Поэтому, даже если злоумышленник попытается получить доступ к данным, определить, кому они принадлежат, будет невозможно, уверяли в Центре биометрических технологий (ЦБТ, оператор ЕБС).

Представитель ЦБТ заверил, что персональные данные, такие как ФИО, адреса, паспортные данные пользователей, в ГИС ЕБС действительно не хранятся. Установить, кому принадлежат размещенные в ЕБС данные, а также воспользоваться зашифрованными фото и записями голоса для злоумышленника не представляется возможным, пояснил собеседник.

На сегодняшний день утечек из ЕБС не было, подчеркивает директор Института исследований интернета Карен Казарян. Но при достаточных усилиях злоумышленники могут совершить атаку с подменой биометрических данных для доступа к аккаунту, отмечает он. «Поскольку поменять биометрию невозможно, единственным решением будет отказаться от ее использования», – заключил эксперт.

В пресс-службе Минцифры и Центре речевых технологий (занимается голосовой биометрией, в том числе для ЕБС) не ответили на запрос «Ведомостей».