Обновлено в 18:00

Бизнес выступил против излишней открытости коммерческих баз данных и обеспокоен по поводу доступа к ним силовых структур. Представители крупного IT-бизнеса, входящего в Ассоциации больших данных (АБД), направили обращение в Госдуму, пишет газета «Коммерсантъ» со ссылкой на документ. В Ассоциацию входят, например, «Яндекс», VK, «Ростелеком», «Мегафон» и другие компании.

В письме бизнес отмечает, что грядущие поправки к законодательству, которые дают доступ силовиков к коммерческим базам, создают риски информационной безопасности. В том числе неправомерного доступа, злоупотребления полномочиями, сливами данных и так далее.

Ассоциация предлагает обязать силовые структуры работать через Единую систему идентификации и аутентификации «Госуслуг». После чего информация должна будет автоматически обновиться в базах данных банков, операторов связи и цифровых платформ. Глава думского комитета по информполитике Сергей Боярский заявил «Бизнес FM», что опасения Ассоциации беспочвенны:

— Речь идет о доступе к данным сотрудников ФСБ, МВД, СВР и ФСО в любых базах — это действительно так, но не ко всем базам целиком. Это необходимо специальным службам и ведомствам для выполнения специальных задач и никак не повлияет на работу этих систем.

— Что означает «не ко всем базам целиком»?

— Только к данным сотрудникам этих ведомств, находящимся в любых базах.

— Сотрудников ведомств, то есть силовых?

— Четырех силовых ведомств.

— Крупный IT-бизнес это не затрагивает?

— Никаким образом. Это узкоспециализированный закон, направленный для выполнения специальных задач нашими силовыми структурами.

Поправки внесли в Госдуму еще летом 2023 года. Они предусматривают особый порядок работы с данными лиц специальных категорий, такими как сотрудники силовых структур, судьи, свидетели, информаторы и потерпевшие. Предлагается разрешить ведомствам удалять и вносить записи, связанные с такими людьми, в том числе через удаленный доступ к базам данных.

В Ассоциации больших данных отметили, что некоторые поправки нарушают требования к конфиденциальности информации и могут приводить к «невозможности оказывать услуги таким лицам» банками и операторами связи.

Бизнес правильно опасается, считает генеральный директор агентства разведывательных технологий «Р-Техно» Роман Ромачев:

Роман Ромачев генеральный директор агентства разведывательных технологий «Р-Техно» «Здесь есть два существенных момента. Первое — это надо взять и посмотреть на опыт наших «партнеров», а опыт говорит о том, что все крупные корпорации активно сотрудничают со специальными службами своих стран, соответственно, с американцами. Активно предоставляют информацию, доступ к нужным ресурсам, это сотрудничество есть, и от этого никуда не деться. Если мы будем запрещать аналогичное сотрудничество российским спецслужбам с нашими разработчиками, мы будем выступать в роли догоняющего и не сможем работать на пресечение преступления, например терроризма. Но есть другой существенный момент — это опыт такого взаимодействия, и опыт-то не совсем позитивный. Если что-то где-то имеет дверь для того, чтобы войти в систему, эту дверь могут использовать как преступники, как хакеры, так и не совсем чистые на руки сотрудники правоохранительных и специальных служб. К сожалению, это опасение вполне обоснованно, и здесь необходимо опять же говорить о том, какая ответственность будет в случае, если такое повторится. Дело в том, что опять же из-за ужесточения ответственности за утечку информации компания может столкнуться с многомиллиардными штрафами, с оборотными штрафами. Как вы знаете, уже в этом году эти поправки вступят в действие, и как доказать, что утечка произошла не по вашей вине, а из-за того, что сотрудник специальных и правоохранительных служб совершил халатность. И я даже практически и теоретически не представляю, как это можно доказать, всегда будет виновата организация. А организация выполнила требование закона, она предоставила доступ либо предоставила данные сотруднику правоохранительной системы и все. Поэтому опасения крупного IT-бизнеса вполне оправданны».

С ним согласен руководитель проектов по взаимодействию с госорганами Ассоциации больших данных Марат Тахавиев.

— В первую очередь хочу подчеркнуть, что Ассоциация больших данных поддерживает необходимость дополнительной защиты информации от специальных категорий субъектов, однако механизм, заложенный в законопроекте, вызывает у нас обеспокоенность. В первую очередь в части порядка предоставления доступа к информационным системам. Текущая версия законопроекта предполагает, что операторы персональных данных будут обязаны предоставить доступ к своим информационным системам, в которых обрабатываются персональные данные клиентов, поскольку мы понимаем, что данные обо всех субъектах не формируют отдельную базу данных. И, таким образом, операторы не смогут предоставлять такой доступ отдельно только по тем категориям субъектов, которые будут запрошены силовыми органами.

— Ассоциация больших данных опасается утечек?

— Понятное дело, что такой механизм формирует дополнительные риски информационной безопасности, поскольку любой дополнительный доступ — это всегда дополнительный риск, и мы это понимаем. Помимо этого, есть ряд технологических опросов, а именно риски потери связанности разных баз данных, неавторизованного редактирования в одной базе данных, может потеряться связанность с другой базой данных.

— Глава думского комитета по информполитике Сергей Боярский заверил нас, что крупный IT-бизнес поправки не затрагивает. По его словам, речь идет о доступе к данным сотрудников ФСБ, МВД, СВР и ФСО в любых базах.

— Текущая формулировка законопроекта предполагает широкое толкование и широкую трактовку, поэтому здесь нельзя однозначно утверждать, что возможный доступ будет только к данным о силовиках, поскольку в принципе такие данные не формируют отдельную базу данных у операторов персональных данных.

Бизнес не зря опасается, считает и гендиректор компании Zecurion Алексей Раевский:

— Они получат больше полномочий, чем у них сейчас есть. Конечно, есть риск, что они эти полномочия будут использовать в каких-то не совсем правомерных целях. Были случаи, что и прослушивание телефонов использовалось в преступных целях, и какие-то другие возможности. Вопрос в том, как это будет документироваться, регистрироваться, какие процедуры будут для получения этого доступа. А так, в принципе, цифровой мир все ближе и ближе.

— Глава комитета по информполитике утверждает, что это затронет только базы силовых ведомств, а на вопрос, зачем Ассоциация больших данных отправила обращение в Госдуму со своими опасениями, ответил: «Так бывает».

— У силовиков и так есть доступ в базы, зачем им какой-то законопроект. Если это их базы, то они по праву владения имеют к ним доступ.

В МТС заявили, что «недопустимо изменять или удалять какие-либо данные в базах удаленно третьими лицами. Этот процесс должен строиться через уполномоченных лиц в компаниях». В «Вымпелкоме», «Мегафоне», Т2 отказались от комментариев.

Осенью 2024 года президент подписал закон, ужесточающий ответственность за нарушения в работе с персональными данными. Закон вводит оборотные штрафы за утечки. За повторную утечку размер штрафа составит до 3% оборота за год, но не менее 25 млн рублей и не более 500 млн рублей.