Принятие в России закона об оборотных штрафах за утечки данных может стать для хакеров дополнительным рычагом давления на российские компании промышленного сектора, а также инструментом конкуренции для организаций. Об этом «Газете.Ru» рассказал эксперт подразделения Kaspersky ICS CERT в «Лаборатории Касперского» Владимир Дащенко.
Закон об оборотных штрафах за утечки данных был внесен на рассмотрение в Госдуму в конце 2023 года. Он предусматривает наказание для компаний в виде штрафа в размере 0,1-3% от годовой выручки за повторную утечку данных. Масштаб санкций будет зависеть от количества субъектов персональных данных, затронутых инцидентом (от 1 тыс. до более 100 тыс. человек). При этом штраф не может превышать сумму 500 млн руб. В январе 2024 года закон был принят в первом чтении.
По словам Дащенко, в случае окончательного принятия новой регулятивной нормы, от нее могут пострадать некоторые организации промышленного сектора. Эксперт отметил, что хакеры могут годами находиться в сети взломанной компании и не подавать признаков компрометации. Закон об оборотных штрафах может стать шансом для злоумышленников, чтобы заявить о себе, — они будут шантажировать компании ранней компрометацией и выманивать у них деньги в обмен на отказ от слива данных.
«Как показывает опыт исследования сложных, а в особенности таргетированных атак на промышленность, хорошо подготовленные злоумышленники, в том числе финансово мотивированные группировки, могут находиться в инфраструктуре долгое время. Либо компания могла быть скомпрометирована давно, а доступ в нее был перепродан другой команде злоумышленников на черном рынке спустя определенное время с момента компрометации», — сказал Дащенко.
Кроме того, по словам эксперта, после ввода оборотных штрафов хакеры могут стать наемниками в руках организаций. Имея на руках информацию о компрометации конкурента, компания может «сдать» его регулятору. Регулятор наложит большой штраф на конкурента, и недобросовестная компания получит преимущество на рынке.
В конце концов, хакеры гипотетически могу использовать новый закон для вывода из строя целых групп предприятий. Для этого злоумышленники, используя, например, неизвестные ранее бэкдоры в ПО, могут разом опубликовать данные, украденные у нескольких структурно важных компаний. Как результат сразу ряд крупных промышленных предприятий в тех или иных регионах могут понести финансовые и репутационные убытки.
«На мой взгляд, инициатива [о вводе оборотных штрафов] требует дополнительного обсуждения всех возможных деталей и сценариев, чтобы в будущем не возникало непоправимых последствий для бизнеса в сфере промышленности», — сказал Дащенко.
Ранее ботнет TheMoon заразил более 46 тысяч Wi-Fi-роутеров в 88 странах.