Привет.
В чем точно навострился «Яндекс», так это в работе с чиновниками, лоббировании собственных интересов и создании монополий внутри России. Что и позволяет вне конкуренции получать сверхдоход, при этом не обращать внимания на такие «мелочи», как российское законодательство, и вытирать ноги о тех же чиновников, не говоря обо всех остальных. Компания последовательна, она гнет свою линию и не прогибается под законодательство, даже когда последнее довольно недвусмысленно описывает необходимые действия.
Для лоббирования собственных интересов в «Яндексе» участвуют в различных ассоциациях, что абсолютно нормально и является мировой практикой. Вот только предложения, которые делает компания, выглядят как минимум удивительно на фоне того, что с ней происходит. Помните утечку данных в «Яндекс.Еде» (не первая и не последняя, но одна из самых масштабных)? В компании никак не компенсировали утечку данных для пользователей, заплатили государству штраф в 60 тысяч рублей, что выглядит смехотворной суммой (по закону сегодня максимальный штраф составляет 80 тысяч рублей). Обещали исправиться и больше не допускать никаких утечек. Чего, конечно же, никто гарантировать не может. Проблема бизнеса в том, что он наплевательски относится к персональным данным своих клиентов, нет никакого ощутимого наказания за утечку данных.
Александр Хинштейн вместе с сенаторами Андреем Турчаком и Ириной Рукавишниковой внесли законопроект об оборотных штрафах для тех компаний, которые допускают утечки данных. 26 июля он поступил на рассмотрение, это поправки в КоАП. Документ имеет небольшие изъяны, но логика его проста и понятна. Предлагается наказывать не за сам факт утечки данных, что было бы логично, а за бездействие компании, которые не защитила эти данные. То есть, по сути, сам факт утечки рассматривается как пролог к рассмотрению того, как компания защитила эти данные, как быстро отреагировала на утечку и так далее. Прописывается регламент, согласно которому компания должна быстро отреагировать на утечку, сообщить соответствующим органам об этом факте. Впервые в России создают правила игры, которые должны обеспечить безопасность персональных данных и не выглядят драконовскими по отношению к бизнесу, можно было намного жестче.
Штрафы в случае доказанного бездействия компании или халатного отношения предполагаются следующими. При утечке личной информации тысячи человек (как вариант, идентификаторов — логин/пароль как пример для 10000 человек) штраф составит от 3 до 5 млн рублей, для должностного лица — от 800 тысяч до миллиона рублей. В диапазоне от 10 до 100 тысяч человек (идентификаторы от 100 тысяч до миллиона) штраф от 5 до 10 млн рублей, должностное лицо — от 1 до 1.5 млн рублей.
Самые масштабные утечки предполагают штраф в 10-15 млн рублей для юридического лица, 1.5-2 млн рублей для должностного лица.
Повторное нарушение предполагает оборотный штраф, он может составить от 0.1 до 3% от годовой выручки компании, минимальный штраф составит 15 млн рублей, максимальный не может превысить 500 млн рублей.
На мой взгляд, законопроект достаточно прозрачный и не имеет особых изъянов. Мировая практика намного жестче, штрафы — выше. Из недавних примеров можно вспомнить штраф T-Mobile в США, компания была вынуждена заплатить 500 млн долларов.
В регламенте указывается, что компания должна сообщить о факте утечки данных в Роскомнадзор в течение 24 часов, в течение 72 часов сообщить о предварительных результатах внутреннего расследования. Несообщение о факте утечки данных также предполагает свой штраф — от 1 до 3 млн рублей за каждый факт. Что выглядит необходимой мерой, так как компании предпочитают скрывать эти факты. Тут нужно оговориться, что, сообщив в РКН о факте утечки, компании не делают эту информацию публично доступной. Это просто регламент, в котором государство получает сведения о том, что случилась утечка, а затем может оценить ущерб.
Подобный закон необходим, так как все чаще коммерческие компании получают те или иные сведения о своих пользователях с помощью государственных сервисов, например, используют «Госуслуги». И с каждым днем роль таких сервисов будет расти, искушение использовать коммерческие компании, чтобы скомпрометировать такие системы, будет все больше. У компаний нет никакой особой ответственности за эти данные, они могут их собирать, а затем применять как угодно. И утечка — это отличный способ передать такие данные вовне, при этом не нести никакой ответственности за это, минимальный штраф позволяет передавать так данные хоть каждый день. Учитывая, что тот же «Яндекс» пытается бежать из России, многие сотрудники работают вне страны, но имеют доступ к чувствительной информации и могут использовать ее как билет в новую жизнь. В сегодняшних условиях это становится вопросом национальной безопасности. Свое отношение к России как «Яндекс», так и его топ-менеджмент, включая владельца компании Аркадия Воложа, доказали делами — это выкачивание денег из страны, но прямое отрицание политики государства, продвижение украинской пропаганды, сбор средств на ВСУ на российских площадках, например, в «Яндекс.Музыке». Это называется фигой в кармане, когда в «Яндексе» пытаются заработать очки в Европе и США, чтобы им позволили вести бизнес в этих странах. Тут не может быть двух мнений, все дела это доказывают. Попытка продать российский бизнес обернулась для Аркадия Воложа провалом.
«Ассоциация больших данных», или Баба-яга против
Для «Яндекса» законопроект Хинштейна представляет нешуточную угрозу. Причина в том, что компания в условиях разделения не может контролировать данные своих клиентов и следующие утечки — это вопрос времени. Например, не так давно у «Яндекса» украли исходные коды большинства продуктов, что хорошо описывает уровень безопасности внутри компании, де-факто она отсутствует.
В «Яндексе» стали действовать на опережение, торпедировать законопроект компания в одиночку не может, но пытается сделать это с помощью «Ассоциации больших данных». В ней участвует большое количество российских компаний, например, VK, «Сбербанк», «Газпромбанк», «Тинькофф Банк», «Россельхозбанк», «МегаФон», «Ростелеком», QIWI, билайн, «МТС», «Авито», фонд «Сколково», Аналитический центр при правительстве, ВТБ, Центр стратегических разработок. Представительный список? Не то слово.
От лица ассоциации в правительство РФ было направлено письмо, в котором говорится, что законопроект нанесет бизнесу непоправимый вред. Документ представляет собой идеальный образчик демагогии. Например, утверждается, что вне зависимости от причин утечки вина за нее налагается на бизнес.
Пожалуй, что это главное из документа, все остальное вторично. Бизнес не хочет отвечать за утечки данных, платить за это деньги. Это типичная позиция «Яндекса», когда компания постоянно перекладывает ответственность на кого угодно, но не несет ее сама. Авария в такси? Так обращайтесь к перевозчику, мы информационный сервис и не несем за поездку никакой ответственности! В судах доказывают ровно обратное, но перекладывание ответственности — это излюбленная стратегия «Яндекса», причина в том, что, отвечая за свои действия, нужно тратить на это время и деньги, что уменьшает прибыль. По умолчанию дизайн сервисов и продуктов «Яндекса» построен так, чтобы минимизировать свои расходы. И государство, устанавливая правила игры, напротив, играет благую роль, заставляя компанию тратиться на формирование ответственности, ровно как в случае, описанном выше.
Инициатором письма стала компания «Яндекс», это их попытка отыграть законопроект назад. Вряд ли это получится сделать, но давайте посмотрим на другие претензии к законопроекту.
Главная мысль, что законопроект наказывает за утечки данных «без вины», то есть компании не готовы признавать, что не обеспечили необходимую защиту данных. Следующий логический вывод, что идет за ним, — наказание за утечки данных снизит инвестиции в защиту этих данных! То есть компании прекратят защищать данные своих клиентов, так как наказание будет несправедливым.
Чувствуется рука PR/GR-специалистов «Яндекса», ее невозможно не узнать. Отсутствие логики как таковой. То есть «несправедливое» наказание и штраф будут делать так, что компании не будут защищать данные и начнут нарываться на новые, причем оборотные штрафы. Вам понятна логика? Мне так точно нет.
А пассаж про то, что если хакеры взломают данные компании, то она будет привлечена к ответственности, и это невозможная ситуация, ведь компания не виновата в этом взломе и его совершили злые хакеры! Моя логика тут проста — если вы не защитили данные, не построили надежную систему их хранения, то это ваша проблема и ваша зона ответственности. Как может быть по-другому?
Следуя логике составителей письма, можно придумать множество ситуаций. Например, машина попала в аварию, но перевозчик не несет ответственности, так как виновата дорожная ситуация, погода или что-то еще. Упал самолет? Это все гравитация! Компания не виновата, он же взлетел и как-то летел. А причины падения технического рода — это дело десятое. Логика, извращенная во всех смыслах.
Во втором квартале 2023 года выручка «Яндекса» составила 182 млрд рублей, прибыль компании — 9.6 млрд рублей. Стоимость адекватной защиты данных пользователей — ничто на фоне этих цифр. Да и максимальный штраф в 500 млн рублей выглядит ничтожным, даже если его будут выписывать ежеквартально.
В ассоциации указывают на недоработку, что максимальный штраф в 500 млн рублей не пропорционален для компаний с разным оборотом. Например, при обороте в 16.7 млрд и 1 трлн рублей он будет разным. Не ищите тут логику, письмо выстроено вокруг некой мифической справедливости, которой, естественно, не существует. Наказание должно быть неотвратимым, а размер штрафа в 500 млн — это все-таки верхняя планка, и он необязательно будет таким, он может быть в любом размере до 3%. Это манипуляция чистой воды, как, впрочем, и все письмо. Интересно посмотреть не на общее письмо ассоциации, а на конкретный список компаний, которые его поддерживают, но, увы, мы этого не увидим.
В целом, могу сказать одно: за утечки персональных данных нужно штрафовать. Это мое личное мнение. Иначе ничего не изменится, защищать данные никто по собственной воле не будет. Наш опрос показывает, что ваше мнение однозначно говорит да. Опрос можно найти вот тут.
А «Яндексу» стоит наконец заняться защитой данных, а не попытками увильнуть от своей ответственности в этом вопросе. Защита данных у «Яндекса» — это дырявое решето, что доказано громкими и масштабными утечками двух последних лет. Ни одна иная компания так наплевательски к данным пользователей не относится, во всяком случае, ни одна компания размера «Яндекса».
Оборотные штрафы обязательны в данной ситуации. В противном случае штраф на такие копейки, что компании будут и дальше забивать на безопасность данных.
Эльдар,не кажется ли вам,что в материалах от вашего имени,очень много политики? Я понимаю,время сейчас такое,но через чур прям. Вы же ресурс о технологиях.
к сожалению бизнесы в России не привыкли рассматривать высокоуровневой стороной в спорах,претензиях… обычных Граждан России.Хотя если вспомнить "планы Шваба, планы Соломона", то переход от государственности к корпорациям виден невооружённым взглядом, взять хотя бы защиту Граждан от мошенников, грабежа Стариков через "пенсионную реформу 2018г",фальсификатов под видом продуктов, мамоннизацию медицины, образования…
Не поддерживаю штрафы за утечку данных. Компания может быть абсолютно не виновата в том, что у неё украли данные, абсолютной защиты нету. Как минимум должны быть критерии, за что можно штрафовать — типа если пароли хранились в незашифрованном виде и т.д.. А когда в результате великолепной внешней политики нашего великого президента количество попыток взломов разных сервисов многократно увеличилось с 2022 года, в такой ситуации потом обвинять какой нибудь взломанный Роза Хутор, из разряда обвинять девушку которую изнасиловали за-то, что она была в короткой юбке. Впрочем это по-русский.
nik_bnv, по моему скромному мнению, технологические вопросы подобного масштаба в отрыве от политики рассматривать нельзя, т.к. само наличие подобных технологий, равно как и практика их применения, как минимум, влияют, а то и определяют эту самую политику.
надо предложить яндексу перестать закрывать входные двери в свои офисы на ночь, пусть ворье заходит и грабит
>По умолчанию дизайн сервисов и продуктов «Яндекса» построен так, чтобы минимизировать свои расходы.Сколько можно пенять бизнесу что он так устроен?А сервисы и продукты операторов связи построены чтобы максимизировать расходы? :DЕдинственное с чем можно согласиться, так это с тем, что обеспечение безопасности это работа внутри компании… Но… большинство айти компаний строит работу команд разработки по принципу патагонки… Команде набрасывают задач от бизнеса больше чем они способны переварить. Каждая задача требует осмысления, но на это нет времени, нужно делать проект… Через некоторое время все это становится плохоуправляемым, и ресурса уже начинает не хватать не то что на какую-то там безоспасность, а просто на поддержание это в рабочем состоянии.А так то это только не конференциях у всех все хорошо, а на самом деле костыль на костыле и костылем погоняет 😀
Моя логика еще проще. Нефиг собирать всё подряд. Храните только то, без чего никак не обойтись. Будет проще охранять. А может и вообще охранять станет нечего.И да, уважаемые депутаты, масштабируйте штрафы на объем данных, а не только количество идентификаторов. Ведь одно дело, если к id привязан только номер мобильника, и совсем другое, если еще фио, адрес, история действий, семейное положение, трек перемещений и прочее.
90korolev, Правда не виноваты? Правда всё могут украсть? И много ли у нас утечек из банковского сектора?
мимoпроходил, ,>>>> По умолчанию дизайн сервисов и продуктов «Яндекса» построен так, чтобы минимизировать свои расходы.>> Сколько можно пенять бизнесу что он так устроен?Где предел минимизации? Пеняют на его неадекватность. У людей тоже есть естественные потребности. Но никто не сядет срать в людном месте. Так и от бизнеса, ожидается выполнение неких всеобще ожидаемых действий. Например защиты собранных в интресах этого бизнеса Наших данных. Или трусы, сбрегайте, или крестик, не собирайте. Ах, без сбора нельзя вести бузинес… ну тогда не ведите.
мимoпроходил, Вот и принимают закон, что бы усиление безопасности стало попадать в статью минимизировать свои расходы.Что бы дыры в безопасности дорого обходились бизнесу, что бы было дешевле их залатать.Всё по рынку.
Сергей Львович, За что?
Пользоваться услугами конторы, для которой ты — в первую очередь товар, да ещё и готовый за что-то подкидывать деньжат — это по определению считать себя ничтожеством. А ничтожество не грех и слить, оно же ничтожно, всё проглотит. И охранять его данные — тоже много чести. Вступая в любые отношения с конторой, один из основных бизнесов которой — реклама, надо быть к этому готовым и просто сидеть ждать пока тебя в очередной раз продадут. Если человек настолько не уважает сам себя, то никакие законы не заставят кого-то уважать его силой.
"В ассоциации указывают на недоработку, что максимальный штраф в 500 млн рублей не пропорционален для компаний с разным оборотом."Вот полностью соглашусь. Нужно убрать из проекта "максимальный штраф". До 3% с оборота, так до 3% с оборота!
Another, Очень взвешенный подход. А средствами коммуникации (эл. почта, мессенджеры, соц.сети, ОС/железо смартфонов) каких контор пользуетесь вы?
Pavel, По возможности — платными вариантами от компаний, не замеченных в рекламе чего-либо, по другой возможности — поднятыми сервисами на своём домашнем сервере с привязанным доменом, а на крайняк — обезличенной учёткой на таких бесплатных заманухах, но там нет никакой личной информации, которую было бы интересно слить.
Lecron, И много ли у нас утечек из банковского сектора? Огромное количество случаев взятия кредитов с помощью взломанной учётки госуслуг.
90korolev, не можешь защитить данные — не собирай их, не? "ой, ну это совсем другое"?а иначе имеем ситуацию, когда доски объявлений (почти как перед подъездом, но электронные) собирают и паспортные данные, и биометрию (это я про "головой перед веб-камерой покрутите"). нужна авторизация в твоем сервисе — пусти людей через гос.услуги, например. но все хотят иметь свои базы. казалось бы, зачем людям такой геморрой? мне вот вариантов кроме "использовать эти базы в своих целях" в голову не приходит
Очевидно, что Яндекс в недалеком будущем окажется в собственности либо непосредственно государства, либо его приближенных, поэтому насчет штрафов ему можно не беспокоится, и за сохранность персональных данных особо не переживать. Если левой рукой наложат оборотный штраф, то правой рукой подкинут оборотки, ну не банкротить же.
Статья веселая:1. Маленький плевок в Яндекс2. Краткое описание законопроекта3. Большой плевок в Яндекс4. Упоминание некоего письма, в котором "Чувствуется рука PR/GR-специалистов Яндекса"5. Маленький плевок в Яндекс
Another, А без "по возможности", с конкретными названиями ответить не получается? Понимаю, понимаю.
Pavel, Да нет, почему же. Просто с телефона не особо люблю набирать текст.Эл. почта: на работе очевидно Outlook, дома Thunderbird, на телефоне Aqua Mail. Почтовый адрес на собственном домене и один адрес для спама и регистрации на сайтах — на мэйлру, так как регистрационные адреса быстро сливают спамерам.Мессенджеры: по работе — Mattermost, для себя — Telegram premium.Телефоны — по работе Philips Xenium X1560 (слишком дорого мне обойдётся потеря смартфона с рабочей перепиской), для себя — Xiaomi Mi9 с кастомом crDroid без гуглосервисов.В соцсетях не состоял, не состою и не буду состоять.
"Хотим бабла — не хотим отвечать ни за что!" — это вкратце позиция Яшки. "Не будем платить оборотных штрафов! А что тогда мы будем платить лоббистам?!" (Хотя на лоббирование у них уходит гораздо больше, парадокс!)) Согласен с Эльдаром Викторовичем практически во всём, поисковик зажрался и потерял берега. Волож качает из Яшки средства из-за бугра и при этом гадит нашей стране, из которой их же и качает. Пусть Волож в Израиле создаст IT-империю и там всех коррумпирует, чихая на законы — вот только кто ж ему даст)))
Иван Петров, А существуют абсолютные методы защиты которые невозможно взломать?
90korolev, вообще, защита информации — это не мумба-юмба, а дисциплина. т.е. в универах преподается и т.д.дык вот, есть постулат, гласящий, что стоимость защиты информации не должна превышать стоимость самой информацииобратное тоже верно. никто не будет покупать дорогостоящий набор отмычек и рентгеновские сканеры, чтобы ограбить деревенский сортир. фсб, фбр, анб и прочим трехбуквенным организациям вовсе неинтересны заказы Васи Пупкина в Бургеркинге. А построить защиту от малолеток тот же Яндекс вполне в состоянииАналогично и с защитой от угроз изнутри. Крайне сложно (если вообще возможно) построить такую ИС, которую не смог бы поиметь сам архитектор (автор). Но и вероятность такого слива исчезающе мала. А вот защититься от рядового админа, который решил мелко отомстить из-за того, что его прокатили с повышением — это более чем решаемая задача
Another, Да ты молодец. Это классно, а что делать остальным 100 миллионам людей, познания которых не так сильны в технике? Яндекс конечно должен озаботится о защите данных своих клиентов, это раз, но есть и два. Наше государство, как впрочем и все остальные, хочет знать о гражданине все буквально, и сбором этого всего должны заниматься такие компании как яндекс, сбер, сдэк и другие. Тут же и закон Яровой. Все это требует денег и специалистов, а и не того и другого особенно в избытке нет. К тому же почему это яндекс во всем виноват, что нет или не было подобных утечек у сбера или сдэка?
bill90, Ну, моя работа тоже не особенно связана с вебом (логистика), но в какой-то момент несколько лет назад пришло понимание, что либо я, либо меня. И разобрался, ничего там сложного нет, всё расписано во множестве инструкций в интернете. В некотором роде даже увлекательно, когда начинаешь понимать, что из пассивного наблюдателя за своей цифровой судьбой превращаешься в её "модератора". А если не тянет вникать, то хотя бы по возможности не оставлять информацию о себе там, где можно без этого обойтись. Особенно в яндексе и ему подобных, получающих одну из основных долей прибыли как раз за счёт разных манипуляций с этими самыми пользовательскими данными. Ничего такого уникального в яндексе вроде бы нет, что заставляло бы на него подсесть, да ещё и так, чтобы указать там о себе что-то сокровенное.
Серьезные штрафы нужны безусловно. Но и тут надо понимать, что эти штрафы в конечном итоге оплатят пользователи.