Госдума предлагает штрафовать безопасников за проблемы с критической инфраструктурой
До недавнего времени у российских надзорных органов был лишь один серьезный аргумент в разговоре с компаниями, которые халатно относятся к безопасности своих цифровых систем. Этот аргумент звучал как статья Уголовного кодекса. То есть, если проверяющий считал, что объект КИИ подвергается опасности, то для системных администраторов это было чревато открытием уголовного дела. Ситуация, мягко говоря, была слегка демотивирующая.
Несоразмерное наказание и правовая дыра
По факту, уголовный кодекс ловил только самых отъявленных «цифровых диверсантов» или альтернативно одаренных «счастливчиков», чья ошибка привела к настоящему коллапсу. А вот несвоевременная установка патчей, бардак в документации или игнорирование предписаний оставались вне интереса госорганов. Ее можно было долго и нудно исправлять по устным рекомендациям, не боясь реальной кары. Это как если бы за переход дороги в неположенном месте сразу обещали осудить на пожизненное заключение, а на практике не наказывали совсем.
Законопроект вводит новую статью 13.13.1 в КоАП РФ. Штрафы для должностных лиц могут составить от 30 до 50 тыс. рублей, для юридических лиц — от 500 тыс. до 1 млн рублей. Повторное нарушение может повлечь увеличение штрафа или дисквалификацию. Ответственность наступает за нарушения правил, установленных ФЗ-187 «О безопасности критической информационной инфраструктуры».
Госдума, решив выступить в роли «строгого, но справедливого» цифрового надзирателя, решила исправить этот дисбаланс. «Давайте введем для них административку, — видимо, решили депутаты. — Чтобы было страшно, но не до смерти». Так и появился законопроект о штрафах до миллиона рублей для компаний и до пятидесяти тысяч для их нерадивых сотрудников. Теперь регулятор получит не «дубину», а точный и понятный инструмент —штрафы.
Ирония судьбы и дефицит кадров
Конечно, нельзя сбрасывать со счетов и существующий кадровый парадокс. Страна, взращивающая IT-гениев, периодически жалуется на их нехватку на госслужбе и в критически важных отраслях. А что может быть лучшим мотиватором для карьеры, чем перспектива личной уголовной статьи за сбой в работе корпоративного приложения? Новые штрафы, которые бьют в основном по кошельку компании, а не по свободе программиста, — это еще и тонкий ход кадровой политики. «Идите к нам, у нас тут теперь не сажают, у нас тут… штрафуют». Это звучит чуть привлекательнее.
Что будет с рынком вакансий в случае принятия законопроекта?
Первое и самое очевидное — подорожание всего, что связано с кибербезопасностью. Спрос на аудиторов, защищенное «железо», лицензионное ПО и услуги сильно повысится. Появятся целые конвейеры по «приведению в соответствие», а консалтинговые компании, знающие, как правильно заполнить бумаги для ФСТЭК, станут новыми королями рынка. Малый и средний бизнес, попавший под категорию КИИ, будет вздыхать и закладывать в бюджет новые статьи расходов.
Второе — волна формального подхода. Поскольку платить никому не хочется, многие ограничатся тем, что «бумага будет в порядке». Купят нужные сертификаты, напишут красивые отчеты и создадут видимость бурной деятельности. Реальная безопасность и формальное соблюдение — вещи, увы, не всегда совпадающие.
В итоге, российский цифровой ландшафт ждет этап бюрократизации, некоторой нервозности, но и долгожданного взросления. Государство, вместо того чтобы пугать тюрьмой, начинает считать деньги. А в условиях, где каждый просчет имеет свою цену, бизнес учится считать лучше всего.
Главное, чтобы в погоне за отсутствием штрафов не забыли, ради чего все это затевалось — ради реальной, а не бумажной безопасности.
Кстати, IT-World писал об этой законодательной инициативе еще два месяца назад, однако до сегодняшнего дня, законопроект не слишком-то продвинулся в процедуре принятия. Это косвенно может намекать на нежелание изменять существующий порядок вещей.
Написать комментарий