Госдума предлагает штрафовать безопасников за проблемы с критической инфраструктурой
Несоразмерное наказание и правовая дыра
По факту, уголовный кодекс ловил только самых отъявленных «цифровых диверсантов» или альтернативно одаренных «счастливчиков», чья ошибка привела к настоящему коллапсу. А вот несвоевременная установка патчей, бардак в документации или игнорирование предписаний оставались вне интереса госорганов. Ее можно было долго и нудно исправлять по устным рекомендациям, не боясь реальной кары. Это как если бы за переход дороги в неположенном месте сразу обещали осудить на пожизненное заключение, а на практике не наказывали совсем.
Законопроект вводит новую статью 13.13.1 в КоАП РФ. Штрафы для должностных лиц могут составить от 30 до 50 тыс. рублей, для юридических лиц — от 500 тыс. до 1 млн рублей. Повторное нарушение может повлечь увеличение штрафа или дисквалификацию. Ответственность наступает за нарушения правил, установленных ФЗ-187 «О безопасности критической информационной инфраструктуры».
Госдума, решив выступить в роли «строгого, но справедливого» цифрового надзирателя, решила исправить этот дисбаланс. «Давайте введем для них административку, — видимо, решили депутаты. — Чтобы было страшно, но не до смерти». Так и появился законопроект о штрафах до миллиона рублей для компаний и до пятидесяти тысяч для их нерадивых сотрудников. Теперь регулятор получит не «дубину», а точный и понятный инструмент —штрафы.
Ирония судьбы и дефицит кадров
Конечно, нельзя сбрасывать со счетов и существующий кадровый парадокс. Страна, взращивающая IT-гениев, периодически жалуется на их нехватку на госслужбе и в критически важных отраслях. А что может быть лучшим мотиватором для карьеры, чем перспектива личной уголовной статьи за сбой в работе корпоративного приложения? Новые штрафы, которые бьют в основном по кошельку компании, а не по свободе программиста, — это еще и тонкий ход кадровой политики. «Идите к нам, у нас тут теперь не сажают, у нас тут… штрафуют». Это звучит чуть привлекательнее.
Что будет с рынком вакансий в случае принятия законопроекта?
Первое и самое очевидное — подорожание всего, что связано с кибербезопасностью. Спрос на аудиторов, защищенное «железо», лицензионное ПО и услуги сильно повысится. Появятся целые конвейеры по «приведению в соответствие», а консалтинговые компании, знающие, как правильно заполнить бумаги для ФСТЭК, станут новыми королями рынка. Малый и средний бизнес, попавший под категорию КИИ, будет вздыхать и закладывать в бюджет новые статьи расходов.
Второе — волна формального подхода. Поскольку платить никому не хочется, многие ограничатся тем, что «бумага будет в порядке». Купят нужные сертификаты, напишут красивые отчеты и создадут видимость бурной деятельности. Реальная безопасность и формальное соблюдение — вещи, увы, не всегда совпадающие.
Но есть и хорошая новость. Самые крупные и серьезные игроки, особенно в энергетике, финансах и транспорте, наконец-то получат от своих же бухгалтерий и советов директоров долгожданное финансирование на проекты по безопасности. Ведь теперь невыполнение правил — это не абстрактный риск, а конкретная и очень неприятная строчка расходов. Это может стать настоящим драйвером для модернизации.
В итоге, российский цифровой ландшафт ждет этап бюрократизации, некоторой нервозности, но и долгожданного взросления. Государство, вместо того чтобы пугать тюрьмой, начинает считать деньги. А в условиях, где каждый просчет имеет свою цену, бизнес учится считать лучше всего.
Главное, чтобы в погоне за отсутствием штрафов не забыли, ради чего все это затевалось — ради реальной, а не бумажной безопасности.
Кстати, IT-World писал об этой законодательной инициативе еще два месяца назад, однако до сегодняшнего дня, законопроект не слишком-то продвинулся в процедуре принятия. Это косвенно может намекать на нежелание изменять существующий порядок вещей.