7 октября в медиацентре РОЦИТ состоялось заседание комиссии по безопасному цифровому развитию. Представители МВД, а также ИТ-отрасли и эксперты обсудили статьи 272.1 и 272.2 УК РФ, поговорили о дальнейшем сотрудничестве и взаимодействии, обменялись мнениями о дальнейшей разработке важного для отрасли пакета законопроектов Минцифры «Антифрод 2.0».
Первым выступил советник отдела правового обеспечения и правового сопровождения оперативно-розыскных мероприятий Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России Андрей Исмакаев.
— МВД России в отношении проектируемой статьи 272.2 разъяснены положения проектируемой нормы. Отмечено, что добросовестное исполнение обязанностей должностными лицами (работниками) информационных систем или информационно-телекоммуникационных сетей своих должностных обязанностей, предусмотренных нормативными актами работодателя или требованиями закона, не может рассматриваться как «целенаправленное» противоправное воздействие.
Профессиональная деятельность по проведению мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак или пояску уязвимостей информационных систем, при их совершение при наличии правовых оснований не влечет ответственность, несмотря на отсутствие прямого указания на это в норме УК и не может рассматриваться как «недобросовестное проведение», — отметил он.
На текущий момент есть избыточность в вопросах сбора персональных данных различными коммерческими компаниями, и надо решать эту проблему, так как эти данные являются чувствительными, конфиденциальными и уязвимыми, считает председатель комиссии РОЦИТ по облачным технологиям, хостингу и информационной безопасности Михаил Шурыгин.
Как отметила директор по стратегическим проектам Ассоциации больших данных Ирина Левова, ее компания заинтересована в защите своих клиентов и принимает активное участие в разработке второго комплекса мер противодействия мошенничеству.
— При этом важно, чтобы проектируемые уголовные и административные составы были сбалансированы и не препятствовали развитию отечественного высокотехнологичного бизнеса. Мы рады возможности обсуждать новеллы регулирования в области безопасности на экспертной площадке РОЦИТ и надеемся на продолжение этого конструктивного и полезного диалога с регуляторами и компаниями в сфере ИБ (информационной безопасности), — заявила Ирина Левова.
Управляющий директор по работе с государственными органами Positive Technologies Игорь Алексеев и ведущий пресейл-инженер Департамента защиты от мошенничества F6 Константин Королев присоединились к позиции коллеге из Ассоциации больших данных, отметив важность проработки всех терминологических аспектов в соответствующем пакете документов.
— Нужно написать закон так, чтобы он был понятен для обывателя. В наших интересах сузить или определить те случаи работы, которые будут прописаны в законопроекте. Мы должны наш развитый по мировым меркам рынок информационной безопасности внутри страны эффективно отрегулировать, чтобы компании не находились в зоне правовой неопределенности. По сути, повысить право на неопределенность и снизить расходы на юристов, на консультантов. Сделать так, чтобы кадры никуда не уезжали, а оставались внутри страны, — отметил исполнительный директор АРПП «Отечественный софт» Ренат Лашин.
Позицию по регулированию законодательной базы дополнил эксперт отдела правового регулирования оперативно-розыскной и экспертно-криминалистической деятельности Уголовно-правового управления Договорно-правового департамента МВД России Кирилл Шитов. Он дал пояснения относительно статьи 272.1 УК РФ.
— Уголовный кодекс Российской Федерации определяет уголовно наказуемыми исключительно незаконные действия, следовательно проведение мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак, в том числе связанных с «утечкой» персональных данных при их совершение при наличии правовых оснований не влечет ответственность, несмотря на отсутствие прямого указания на это в норме УК.
Спикер отметил, что в связи с информацией выше корректировка нормы уголовного закона не требуется.
По словам эксперта эксперта по информационной безопасности, члена правления РОЦИТ Андрея Ярных, для мошенников закрываются логические уязвимости в инфраструктуре, снижая возможности для вредоносных действий и активностей. Он призвал формировать обязательные для информационной безопасности и автоматизированных рабочих мест программы, помимо операционной системы.
— Во-первых, нужно использовать сложные пароли. Например, продвижение механизмов двухфакторной авторизации, и возможно, даже на уровне государства. Проблема в том, что пароли по умолчанию в устройствах не меняются. Во-вторых, крайне важны автоматизированное резервное копирование, проверка и восстановление. Также важно формировать корзину программных продуктов российского пользователя. Отчасти проблему решает предустановка, но полезно будет создать полноценный комплекс, в который будут входить инструменты информационной безопасности, копирования, патчинга.
Основатель «Хакер.ру» Дмитрий Агарунов пригласил коллег из Министерства внутренних дел к сотрудничеству с сообществом независимых экспертов, которое он представлял на площадке РОЦИТ.
— Публикация позиции экспертного сообщества может быть полезна для инженеров. Мы приглашаем к информационному сотрудничеству, которое также принесет пользу для деятельности МВД. Напомню, что мы никогда ничего не публиковали, кроме «хардкорных» материалов, но сейчас общественная задача поменялась, и пора начинать дискуссии по законодательству, по правилам организации безопасности. Нужно продолжать обучение наших талантливых ребят, — резюмировал Дмитрий Агарунов.
ИТОГИ
Завершая дискуссию, председатель правления РОЦИТ, первый заместитель председателя комитета ГД по информационной политике, информационным технологиям и связи Антон Горелкин отметил, что обмен мнениями успешно состоялся. Спикер надлежащим образом выслушал все позиции участников комиссии по безопасному цифровому развитию, и напомнил, что в дальнейшем именно ему предстоит принять решение по дальнейшей судьбе законодательных изменений в области информационной безопасности, нажимая кнопку «за» или «против» при голосовании за пакет «Антифрод 2.0».