Вот тут в Коммерсанте статья про рост запроса бизнеса на проведение аудитов

Вот тут в Коммерсанте статья про рост запроса бизнеса на проведение аудитов на соответствие закону о персональных данных 🪪 Мол, рост у многих игроков этого рынка, что есть хорошо. Но... это же в корне неверно. Хорошо только тем, кто получает деньги за проведение аудитов. В реальности ситуация становится только хуже 🤠

Во-первых, если внимательно читать, то аудиты многие проводят для того, чтобы реализовать смягчающие факторы при утечке 🥺 То есть компании хотят не понять реальный уровень защиты, а снизить размеры штрафа. Это тоже нормальное желание, но только к безопасности персональных данных никакого отношения не имеет. Вспоминая закон Гудхарта, компании будут стремиться не защищать личную информацию, а пройти аудит ☑️ Начнется торговля аттестатами соответствия или как их там еще будут называть, и пошло-поехало... Мы такое проходили уже.

Во-вторых, чтобы оценивать реальную защищенность системы обработки персональных данных, предлагаемых мер (аттестация, которую пройти нельзя на современным предприятии, аудит по чеклисту и т.п.) нужно совсем другое - пентесты, багбаунти, red team'инг, кибериспытания... 👺 А про это никто не говорит. КоАП вообще ни слова не говорит о том, как надо подтверждать соответствие требованиям. А раз так, то все пойдут по пути наименьшего сопротивления. То есть защиты больше не станет, скорее наоборот. А вот чувство ложной защищенности вырастет... До поры, до времени ⏳

А потом, когда такую проверенную компанию взломают, бизнес спросит: "Ну вы же проходили оценку соответствия. И что теперь?" 🤔 А будет вот что. Сначала пострадавшая компания получит свой штраф; пусть и в уменьшенном размере (то есть несколько миллионов рублей, до 15-ти). Потом ее поломают 🤔 во второй раз; защиты же особо нет - только бумажная безопасность. И тогда будет оборотный штраф, так как смягчающие обстоятельства в этом случае уже не будут действовать. Селяви 🤔

#персональныеданные #оценказащищенности