Нет, не влияет!
Последние недели в СМИ стала раскручиваться история про необходимость ужесточения наказания за нарушение законодательства с персональными данными и за иные киберпреступления:
- законопроект об оборотных штрафах за утечки ПДн
- законопроект об уголовной ответственности за незаконный оборот ПДн
- законопроект о конфискации имущества за преступления в сфере высоких технологий.
И надо признать, что многие коллеги-ибшники разделяют этот подход, считая, что усиление ответственности должно привести к снижению числа утечек, пробивов и иных киберпреступлений. Но так ли это на самом деле? Я тут наткнулся на исследование, в котором проводился анализ правоприменительной практики в различных странах (США, Финляндия, Швейцария, Германии, Португалии и России) и оно уверенно доказывает отсутствие такой корреляции.
Два ярких примера, на которых можно было собрать достаточную статистику — «закон трех страйков» (он же «закон трех ошибок» или «закон трех преступлений») и политики нулевой толерантности. В первом случае речь идет о законе, принятом во многих американских штатах, который подразумевал максимально жесткое наказание за три совершенных преступления. Как показала статистика до вступления закона в силу и после — число преступлений практически не поменялось. Политика нулевой толерантности подразумевает назначение максимально возможного по закону наказания даже за незначительные правонарушения. Статистика до и после показывает, что должного эффекта эта политика также не имела. Однако, на уровне общества ситуация обстояла с точностью наоборот — рядовые граждане считают, что именно нулевая толерантность позитивно сказывается на снижении числа преступлений.
Тут впору напомнить о психологии восприятия риска, в которой проводится четкая грань между реальностью и ощущениями. Мы часто преувеличиваем одни угрозы и преуменьшаем другие, опираясь не на реальные цифры, а на то, как мы их чувствуем.
В Финляндии декриминализация ряда статей привела к снижению числа преступлений. Аналогичные результаты были отмечены и в кантонах Швейцарии и федеральных землях Германии, где ужесточение не приводит к существенному сокращению противоправных действий, в том числе и рецидивов. В Португалии и России схожие тенденции, что позволяет сделать вывод о том, что это общая история, независящая от государства и его правовой системы.
Причин у такой ситуации несколько (хотя авторы исследования сами с собой спорят о том, насколько эти причины верны):
- Наказание должно быть незамедлительным, что малореально при той загрузке надзорных органов, следователей и судов.
- Высокая нераскрываемость киберпреступлений, которая приводит к безнаказанности, рассматриваемой преступниками как «награда».
- Условные сроки приводят к тому, что еще непойманные преступники рассчитывают на повтор такой «награды» и в отношении себя.
Получается, что все разговоры о необходимости ужесточения ответственности за утечки ПДн, а также за незаконный их оборот, — это «разговоры для бедных». Никакого существенного влияния на уровень сохранности наших данных эти поправки не имеют и не будут иметь. А вот затраты на полицию, следствие, суды и иные элементы правоохранительной системы возрастают в разы — в США этот рост составлял от 400 до 600% по разным направлениям. Зато все при деле и все по запросу и в интересах граждан!
Возможно, это ни для кого и не секрет, но мне было интересно посмотреть на цифры, доказывающие отсутствие корреляции между ужесточением наказания и снижением числа преступлений.
Так это действительно «разговоры для бедных».
Общество очень обеспокоено возможными утечками ПДн. Это настроение постоянно подогревается. А руководство «партии и правительства» весьма заинтересовано в получении всех ПДн, включая биометрических. Поэтому законодателя нагрузили обязанностью придумать законы, способные успокоить законопослушных граждан.
После ввода этих законов нужно на полгодика резко снизить число публикаций об утечках. И все скажут: «Ух, помогло! Теперь можно и биометрию сдать».
Так и будет
Не знаю, как на счет ИБ, но вот пример с пространства СНГ. В Узбекистане за каржу авто дают 15 лет. Результат — машини практически не угоняют, если только малолетки или бухие. Да, воруют из машин, но не угоняют.
Ну так это не догма и универсальное правило абсолютно для всех. В исследовании приводится пример с кражами авто, но в Беларуси. Там тоже подняли срок и число краж сократилось. А потом оказалось, что просто расследовать стали лучше (неотвратимость наказания, а не его серьезность), угнанную тачку вывезти тяжело, а государство небольшое, чтобы можно было рассекать безнаказанно на ней.
Чем больше наказание, тем больше есть смысл вкладываться в расследование и поиск виновных. Поэтому при прочих равных раскрываемость должна быть лучше -> неотвратимее наказание.
Вот с неотвратимостью наказания засада
Согласен на вс 100500%!!!
Для того,чтобы НАЧАЛА меняться ситуация с утечками, защищённостью КИИ, необходимо у ЛПР компаний и госорганов свернуть мировоззрение на ИБ-шные вопросы…, далее в компаниях и госорганах ПОСТЕПЕННО начнёт повышаться уровень зрелости в ИБ… и тут подоспеет ИИ, квантовые вычислительные технологии… и вся зрелось пойдёт прахом)))
А так да, после изменения мировоззрения ЛПР, можно и уровень наказаний повысить…
Все постепенно
И опять упираемся в нормальное правосудие….будет Правосудие будет и наказание, будет и реакция…сейчас штампуют как не в себя, правоприменение дай бог 5 процентов исполняют законы, остальные о них даже и не знают, некоторые просто забили….притом эти штампующие защищают якобы меня от утечки, зачем? дайте мне нормальный суд я сам себя защищу, притом без этих новых законов…будет реальный риск получить нехилые штрафы от граждан будет и эффект…боятся не наказания, а ущерба….притом ущерб не в фиксированных штрафах, а в штрафах от реального нанесенного ущерба-украли скажем ПД позволяющие взять кредит, подсчитали какой кредит могли выдать и вот тебе готовый штраф, опубликовали личное видео, на получай штраф за десять лет потерянной работы например…итдитп
и вновь в точку!!!
Сейчас мы договоримся до смены строя 🙂
Откуда вывод, что ИБшники говорят об уменьшении количества утечек из-за ужесточения наказания (об этом только желтуха трубила)? Почему такой однобокий взгляд?
Все мои коллеги по ИБ считают, что ужесточение наказания за утечку ПДн повысит бюджетирование ИБ отделов, а в некоторых стартапах в целом задумаются об ИБ (читай сегодняшнюю статью про защищенность российских приложений).
Понятно, что сейчас пойдет шарманка, что «нормальный ИБшник может и без продажи страха выбивать нужный бюджет», но это работает только в мечтах.
И почему не рассмотрено влияние к подходам ИБ в компаниях, которые попали под GDPR? Утечки не прекратились, конечно и ни при каких обстоятельствах утечки не прекратятся, но компании хотя бы начинают что-то предпринимать в сторону ИБ
если у вас бюджет формируется из прибыли, которую приносят вам обычные граждане или большие коммерческие проекты, то возможно и повысят бюджет
А вот госам или ОПК трудновато с этим придётся…с госфинансированием или нормой прибыли 10%…мелкие конторы вообще забьют и будут пытаться правдами и неправдами уходить от даже от намёка на ответственность!!!
Вопрос с обоснованием и поиском «болевых точек» у заинтересованных лиц
Тут больше нужно давить на утрату имиджа компании после утечки. Ведь данные утекают не из-за закона. А из-за отсутствия кибер-гигиены у персонала, ошибок технарей и т.д.
Вопрос только в том, влияет ли утечка на имидж и интересен ли многим имидж?
Ну я делаю вывод по мероприятиям, которые посещаю и по чатикам, которые читаю
С GDPR ситуация немного иная и это то, о чем Сергей выше писал. У юриков могут быть иные мотивы не совершать преступления и оборотные штрафы могут их заинтересовать… при условии нормального правоприменения
Совершенно не убедительная аналитика, отсутствие логической связи между предположениями и выводами.
Не проводится анализ почему декриминализация ряда статей привела к снижению преступлений…
— само по себе это произошло или принимались другие компенсирующие меры?
— что это были за статьи? возможно такая реакция характерно для определенного типа преступлений?
Не представлен анализ — совершались ли упомянутые нарушения организациями или физ. лицами? Возможно для них действуют разные законы.
Например, в США и многих западных странах применяется суровая ответственность за налоговые преступления и никто не собирается её уменьшать, ни смотря на приведенную в статье статистику.
В евросоюзе, США и других странах только усиливается ответственность за нарушения в области ИБ и ПДн. Там что, сидят глупые люди, которые не могут изучить упомянутую в статье статистику и сделать выводы?
Сергей, ну ты прям как в суде «Какие ваши доказательства?» 🙂 Я же не буду переписывать все исследование, которое само по себе вобрало в себя сотни других исследований. Собственно, как и цифры оттуда я не стал копировать. Но, отвечая, сравнивались периоды 10 лет до принятия ужесточающих мер и 10 лет после. Оценивались разные преступления — начиная от убийств и наркоты и заканчивая нарушением правил дорожного движения, то есть речь о физиках (я понимаю, куда ты клонишь, уточнив про юриков).
Ну а что касается глупых людей, то я специально выделил, что есть статистика, а есть «запрос от народа», на который принято реагировать 🙂
Вообще не вижу никаких причин, почему отмена штрафов может снизить количество нарушений….
А вот увеличение штрафов вполне может снизить. Так как для коммерческих компаний при принятии решений как правило важны не этические нормы, а сугубо деньги.
Пока штрафы маленькие и компенсации физ. лицам нулевые — кто будет вкладываться в ИБ? Сотни раз участвовал в подготовке подобной аналитики и пока что штрафы всегда болтаются где-то на уровне минимального/незначимого ущерба и приемлемого риска
Я тебе назову с десяток, сходу, законных сценариев, как уйти от оборотных штрафов. И стоит одного наказать, как остальные придумают еще несколько десятков. Это если не принимать в расчет, что серьезные утечки у нас происходят либо у тех, кто может откупиться от проверяющего (а коррупция там разовьется буйным цветом), либо у тех, кто неприкасаем.
Последние комментарии Минцифры по утечкам особенно милы :)….это о неприкасаемых….
У меня есть версия, что число преступлений можно снизить, если уменьшить выгоду от их совершения.
Могу проиллюстрировать (там много факторов, но это лежит на поверхности): по моему мнению, китайцы запретом торговли органами и частями тел амурских тигров внесли много больший вклад в дело борьбы с браконьерством, чем все наши отечественные программы. С цифрами получается только «общим куском» 2005 г — китайцы запретили, с 2005 по 2020 численность амурского тигра увеличилась с 400-500 до 700-750 особей.
С этим никто не спорит. Но как уменьшить выгоду от киберпреступлений? Запретить торговлю кибероружием? Запретить криптовалюты, анонимизирующие оплату труда киберпреступников?
Сделать информацию бесполезной для незаконного использования:
— смысл воровать пароли, если есть второй фактор + пароль поменять проще, чем высморкаться?
— смысл получать доступ в госуслуги и пытаться продать квартиру «по удаленке», если потенциальная жертва поставила запрет на дистанционные сделки?
— смысл воровать биометрию, если… а нет, что это я, биометрия наше всё! 🙂
Я еще помню бумажные телефонные справочники, где были ФИО, номера телефонов и адреса проживания. Видимо, тогда эти все персональные данные нельзя было незаконно монетизировать (т.е. они были бесполезны для большей части мошенников) и все эти данные были доступны за символическую сумму.
ФИО, телефон и адрес и сейчас мало кому интересны. А вот если добавить к ним данные, например, по заказам, тогда данные становятся ценными. Раньше такого не было
Очень ошибочное мнение, за эти данные многие готовы платить…но эти данные сейчас только у мвд, Говорю как обстоит дело в россии, знаю даже факты продажи госами таких данных(ну как знаю, со слов, в одном муниципалитете простые люди работают))))))….
ФИО, телефон и адрес есть у многих и они не ценны уже сами по себе. Ценность появляется при обогащении этой информации сторонними базами
Алексей, вы вот сейчас скажите что у вас есть база всех -адрес, фио, телефон и скажите что готовы продавать. Вам телефон оборвут))))))))))))Вы миллиардером станете за год. Одну строчку за 2 рубля. Повторю еще раз, сейчас официально привязка ФИО, Адрес- по закону обладает только МВД.
Очевидный факт, что правило «Чтобы корова больше давала молока и меньше ела, ее нужно чаще доить и меньше кормить» не работает в долгосрочной перспективе. На мой взгляд, не корректно сравнивать статистику по уголовным преступлениям и комплаенс. Степень наказания за совершение преступлений должна быть адекватной тяжести (законы) и неотвратимой (органы следствия и суды). Желание заработать за чужой счет никуда не денется у склонных к этому людей. х% ВСЕГДА будут совершать преступления, независимо от тяжести наказания, отклонения от х зависят от эффективности работы ветвей власти. В комплаенсе условный банк с требованиями ЦБ, 152-ФЗ, КИИ, импортозамещения, неадекватного ценообразования отечественного ПО после ухода западных вендоров, может все это выполнить только при достаточном ресурсном обеспечении не только ИБ, но и ИТ и на адекватном временном отрезке. Про малый бизнес вообще речь вести смешно. Им проще закрыться (многие так и делают), чем выполнить требования или заплатить штрафы. А речь о том, что система, которая требует, но не обеспечивает выполнение неработоспособна. И статистика всегда будет разной в разных системах.
Так и не сравнивается же. Есть требования законодательства. Их никто не отменял. Есть ответственность не за нарушения требования законодательства, а за утечки (независимо от выполнения требования законодательства)
Вы видимо даже не представляете себе какая это сейчас проблема….
росреестр закрывает данные ЖКХ вон все взвыло https://rg.ru/2022/12/27/sobranie-dannyh.html?
а эта пробема уже лет пять-сем…щас нет домовых книг, нет форм, нет выписок из домовых книг итдитп….это все вне закона…