Принятие в России закона об оборотных штрафах за утечки данных может стать для хакеров дополнительным рычагом давления на российские компании промышленного сектора, а также инструментом конкуренции для организаций. Об этом "Газете.Ru" рассказал эксперт подразделения Kaspersky ICS CERT в "Лаборатории Касперского" Владимир Дащенко.
Закон об оборотных штрафах за утечки данных был внесен на рассмотрение в Госдуму в конце 2023 года. Он предусматривает наказание для компаний в виде штрафа в размере 0,1-3% от годовой выручки за повторную утечку данных. Масштаб санкций будет зависеть от количества субъектов персональных данных, затронутых инцидентом (от 1 тыс. до более 100 тыс. человек). При этом штраф не может превышать сумму 500 млн руб. В январе 2024 года закон был принят в первом чтении.
По словам Дащенко, в случае окончательного принятия новой регулятивной нормы, от нее могут пострадать некоторые организации промышленного сектора. Эксперт отметил, что хакеры могут годами находиться в сети взломанной компании и не подавать признаков компрометации. Закон об оборотных штрафах может стать шансом для злоумышленников, чтобы заявить о себе, – они будут шантажировать компании ранней компрометацией и выманивать у них деньги в обмен на отказ от слива данных.
"Как показывает опыт исследования сложных, а в особенности таргетированных атак на промышленность, хорошо подготовленные злоумышленники, в том числе финансово мотивированные группировки, могут находиться в инфраструктуре долгое время. Либо компания могла быть скомпрометирована давно, а доступ в нее был перепродан другой команде злоумышленников на черном рынке спустя определенное время с момента компрометации", – сказал Дащенко.
Кроме того, по словам эксперта, после ввода оборотных штрафов, хакеры могут стать наемникамив руках организаций. Имея на руках информацию о компрометации конкурента, компания может "сдать" его регулятору. Регулятор наложит большой штраф на конкурента, и недобросовестная компания получит преимущество на рынке.
В конце концов, хакеры гипотетически могу использовать новый закон для вывода из строя целых групп предприятий. Для этого злоумышленники, используя, например, неизвестные ранее бэкдоры в ПО, могут разом опубликовать данные, украденные у нескольких структурно-важных компаний. Как результат, сразу ряд крупных промышленных предприятий в тех или иных регионах могут понести финансовые и репутационные убытки.
"На мой взгляд, инициатива [о вводе оборотных штрафов] требует дополнительного обсуждения всех возможных деталей и сценариев, чтобы в будущем не возникало непоправимых последствий для бизнеса в сфере промышленности", – сказал Дащенко.
Свежие комментарии