Обсуждение исключения уголовной ответственности для ИБ-компаний в свете новых законов

Для сектора кибербезопасности ищут исключения в Уголовном кодексе Минцифры, представители Совета Федерации и участники рынка информационной безопасности ИБ обсуждают возможность исключения ИБ-компаний из-под действия закона «О персональных данных», рассказали «Ведомостям» два топ-менеджера крупных компаний сектора и собеседник в профильной IT-ассоциации. Речь идет о том, чтобы исключить возможность уголовной ответственности для сотрудников ИБ-компаний, получивших доступ к персональным данным ПД граждан в результате профессиональной деятельности. В результате принятия закона, ужесточающего административную и вводящего уголовную ответственность за утечку ПД, под новые нормы подпадал широкий круг специалистов по ИБ, в том числе люди, занимающиеся расследованием компьютерных преступлений, сбором информации из открытых источников и проверкой систем на уязвимость, говорят эксперты. Обсуждаемая проблема «надуманная», так как белые хакеры защищены договором с компанией, системы которой они проверяют, отмечает президент ГК InfoWatch Наталья Касперская. «Если взлом системы делается по договоренности с владельцем, что закреплено договором, то риска для исполнителей нет», – считает она. Подпишитесь на «Ведомости»

ИБ-компании могут столкнуться с барьерами в работе из-за нововведений в УК РФ Компании, занимающиеся информационной безопасностью, могут столкнуться с рядом трудность при фиксировании результатов работы и повышении ее эффективности из-за нововведений в 272 статью УК РФ и Федеральный закон "О персональных данных". Об этом рассказал гендиректор группы компаний "ST IT", эксперт рынка TechNet НТИ Антон Аверьянов. Согласно статье 272.1 УК РФ, введенной в ноябре 2024 года, специалисты по информационной безопасности, которые в ходе своей работы сталкиваются с персональными данными, могут быть привлечены к уголовной ответственности. Это касается не только пентестеров, проверяющих системы на уязвимости, но и компаний, занимающихся форензикой — расследованием инцидентов, связанных с кибербезопасностью. "Действительно, пентестеры, действующие в рамках договора с заказчиком, могут быть частично защищены от уголовного преследования. В более уязвимом положении находятся компании, занимающиеся форензикой. Их деятельность часто связана с анализом утечек данных, что теперь может быть квалифицировано как незаконное использование персональных данных. За подобные действия в зависимости от классификации и тяжести могут грозить такие наказания как: штраф до 300 тысяч рублей и до четырех лет лишения свободы за незаконное использование, передачу, сбор или хранение данных, полученных неправомерным путем", - уточнил гендиректор группы компаний "ST IT", эксперт рынка TechNet НТИ Антон Аверьянов. Он добавил, что компании, которые занимаются информационной безопасностью, часто используют базы данных с утечками для мониторинга и предотвращения киберугроз. Эти базы содержат информацию о компрометированных данных, что позволяет специалистам оперативно реагировать на инциденты. "Однако теперь использование таких баз может быть сопряжено с юридическими рисками. Специалисты могут столкнуться с трудностями при доступе к этим данным, так как любая работа с персональными данными теперь требует строгого соблюдения законодательства. Это создает дополнительные барьеры для эффективного выполнения задач по обеспечению кибербезопасности", - заключил Аверьянов.

Для сектора кибербезопасности ищут исключения в Уголовном кодексе // ВЕДОМОСТИ Минцифры, представители Совета Федерации и участники рынка информационной безопасности обсуждают возможность исключения ИБ-компаний из-под действия закона «О персональных данных». Об инициативе знает и президент ГК InfoWatch Наталья Касперская. Речь идет о том, чтобы исключить возможность уголовной ответственности для сотрудников ИБ-компаний, получивших доступ к персональным данным ПД граждан в результате профессиональной деятельности. Сейчас специалисты, получившие доступ к персональным данным для их защиты, рискуют получить до 10 лет лишения свободы.

Сектору кибербезопасности нужны исключения в Уголовном кодексе Источник: Ведомости Минцифры, представители Совета Федерации и участники рынка информационной безопасности ИБ обсуждают возможность исключения ИБ-компаний из-под действия закона «О персональных данных», рассказали «Ведомостям» два топ-менеджера крупных компаний сектора и собеседник в профильной IT-ассоциации. Об инициативе знает и президент ГК InfoWatch Наталья Касперская. Речь идет о том, чтобы исключить возможность уголовной ответственности для сотрудников ИБ-компаний, получивших доступ к персональным данным ПД граждан в результате профессиональной деятельности. 28 ноября президент России Владимир Путин подписал закон, ужесточающий административную и вводящий уголовную ответственность за утечку ПД. Поправки в ФЗ-152 «О персональных данных» коснулись не только компаний, допустивших утечку, но и тех, кто занимается незаконным хранением, сбором и передачей данных, полученных незаконным путем. Такие действия расцениваются в поправках как противозаконные, и, согласно ст. 272 УК РФ определяет наказания за нарушение норм ФЗ-152 , за это предусмотрено наказание – до 10 лет лишения свободы. В результате принятия закона под новые нормы ответственности подпадал широкий круг специалистов по ИБ, в том числе люди, занимающиеся расследованием компьютерных преступлений форензикой , сбором информации из открытых источников OSINT и проверкой систем на уязвимость пентестами , уточняет заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУРа Руслан Пермяков. То есть в результате своей профессиональной деятельности эти компании могут получить доступ к ПД без соответствующего на то согласия, объяснил он.

Минцифры, Совет Федерации и участники ИБ-рынка обсуждают возможность исключения уголовной ответственности для сотрудников ИБ-компаний, которые получили доступ к персональным данным граждан в результате профессиональной деятельности. Сейчас они рискуют получить до 10 лет лишения свободы. Напомним, 28 ноября президент Путин подписал закон, ужесточающий административную и вводящий уголовную ответственность за утечку персданных.

Для сотрудников компаний в секторе кибербезопасности могут исключить возможность уголовной ответственности при получении доступа к персональным данным в результате профессиональной деятельности. Такую инициативу обсуждают власти и участники рынка, пишут «Ведомости». Сейчас сотрудникам ИБ-компаний, получившим доступ к персональным данным граждан, может грозить до 10 лет лишения свободы

Минцифры России совместно с Советом Федерации обсуждают возможность исключения ИБ-компаний из-под закона «О персональных данных». Это связано с новыми поправками, усиливающими наказание за утечки персональных данных, и неопределенностью в правовых рамках работы специалистов в сфере кибербезопасности.

‍ ИБ-компании могут вывести из-под действия закона о персональных данных Минцифры, Совет Федерации и участники рынка обсуждают возможность исключения ИБ-компаний из-под действия закона «О персональных данных». Это позволит специалистам по кибербезопасности легально получать доступ к персональным данным в рамках своей работы. Инициатива появилась после ужесточения наказания за утечки персональных данных в ноябре 2024 года. Согласно поправкам к закону, за незаконные действия с персональными данными предусмотрено наказание до 10 лет лишения свободы. В обсуждении участвуют крупные ИБ-компании. Эксперты подчеркивают необходимость четкого разделения законных методов работы специалистов по ИБ и действий, которые могут быть расценены как нарушение закона. #кибербезопасность #персональныеданные #законодательство #WhiteHackers

Минцифры, представители Совета Федерации и участники рынка информационной безопасности ИБ обсуждают возможность исключения ИБ-компаний из-под действия закона «О персональных данных» Речь идет о том, чтобы исключить возможность уголовной ответственности для сотрудников ИБ-компаний, получивших доступ к персональным данным ПД граждан в результате профессиональной деятельности Сейчас специалисты, получившие доступ к персональным данным для их защиты, рискуют получить до 10 лет лишения свободы Подписаться

Кибербезопасников могут вывести из-под удара Представители власти и участники рынка ИБ ищут возможности для исключения кибербез-компаний и их сотрудников из-под действия закона «О персональных данных». Напоминаем, о чем речь – 28 ноября был подписан закон, который ужесточил административную и ввел уголовную ответственность за утечки персональных данных. При этом поправки касались не только допустивших утечку компаний, но и тех, кто занимается незаконным хранением, сбором и передачей данных, полученных незаконным путем. В итоге под удар попали специалисты по ИБ, которые расследуют киберпреступления, а также те, кто занимаются OSINT’ом и пентестом. Однако, по данным «Ведомостей», Минцифры, представители Совета Федерации и группа ИБ-игроков Positive Technologies, «Лаборатория Касперского», Solar и МТС Red обсуждают возможности выхода из этой крайне неприятной ситуации. Факт переговоров косвенно подтверждает Минцифры. Пока конкретных договоренностей нет. Только понимание того, что вся ситуация изначально является сюром: дело в том, что поправки, исключающие ИБ из-под действия закона, планировались еще к третьему чтению, но их банально не успели сделать. Теперь возникшую проблему придется решать с помощью отдельного законопроекта