РСПП просит смягчить проект поправок к закону «О персональных данных», принятых Госдумой в первом чтении 24 мая. Отраслевая организация обращает внимание на пункт в законопроекте, который касается требования к операторам ПД уведомлять РКН об утечках в течение 24 часов. За этот срок им нужно будет установить причину инцидента, оценить предполагаемый вред и перечислить меры, принятые для устранения последствий. В РСПП считают, что требование отчитаться об инциденте за 24 часа и провести полноценное расследование «фактически невыполнимо». Оператор может узнать об утечке не в момент происшествия, а спустя промежуток времени, объясняет союз. По этой причине в РСПП предлагают увеличить срок до 72 часов, а также заменить формулировку «с момента наступления инцидента» на «с момента выявления инцидента».
Срок в 24 часа выглядит «малореальным», так как многие компании узнают об утечках из прессы, а некоторые даже не догадываются, что их атаковали или что злоумышленники долгое время находятся внутри инфраструктуры, соглашается тренер по компьютерной криминалистике Group-IB Сергей Золотухин. По его словам, в мае – июне в даркнет выложили рекордное количество баз данных российских компаний – более 50. «Проблема такого огромного числа инцидентов в недостаточной защищенности цифровых активов. Но если руководство компаний уделит больше внимание процедурам подготовки к реагированию на инцидент, то срок в 1–3 дня может быть вполне достижим», – объясняет он.