Кибербезопасность-2026:как второй пакет мер Минцифры изменит отрасль

Единая система

Документ включает около 20 инициатив, от возможности самозапрета на операции для граждан до новых требований к операторам связи. Предусмотрены также административная и уголовная ответственность за мошенничество, а для борьбы с дропперами вводятся ограничения на количество банковских карт до десяти на человека.

Среди предложенных мер, особо выделенных экспертами, значится давно ожидаемая единая система управления согласиями на обработку персональных данных. Граждане смогут контролировать эти согласия, включая их отзыв, через портал «Госуслуги».

Одновременно с этим операторы связи получат новые обязанности: их обяжут передавать информацию о мошеннических номерах в систему «Антифрод». Кроме того, если будет доказано бездействие оператора, повлекшее хищение средств с мобильного счета, ему предстоит возмещать ущерб в течение месяца. Аналогичный механизм ответственности и возмещения будет внедрен и для банковских организаций.

Новые меры также предусматривают усиление контроля над телефонными вызовами. Гражданам будет предоставлена возможность установить самозапрет на входящие звонки с иностранных номеров. Все остальные международные вызовы будут сопровождаться специальным индикатором.

Модернизация и экспорт

По мнению экспертов, на данном этапе сохраняется ряд вопросов, требующих детальной проработки, в частности, в сфере распределения ответственности. Ключевым моментом является установление ясности в определении субъектов ответственности при утечках данных и предотвращение возможных разногласий между операторами и банками. Также существенное значение имеет формирование точных критериев для внесудебной блокировки фишинговых сайтов, что позволит обеспечить надёжную защиту, избегая при этом блокировки полезного контента.

Государство выживает мелких провайдеров не потому, что оно не хочет, чтобы люди деньги зарабатывали, а потому что те не следуют правилам. Безопасность стоит дорого. Не можешь соблюдать безопасность, нет другого бизнеса, который позволяет поддерживать инвестиции на должном уровне, будь добр освободить место для тех, кто это делает. Мошенники используют утечки персональных данных для эффективного обмана людей, поэтому стимулирование инвестиций в защиту данных – это только на пользу гражданам

Эльдар Муртазин

ведущий аналитик Mobile Research Group

В контексте экспорта существует возможность унификации российских стандартов кибербезопасности и защиты персональных данных с международными. Принятие Россией технологических и нормативных мер, отвечающих, к примеру, международному праву, способно увеличить доверие к ее цифровым продуктам за рубежом. Однако некоторые из инициатив могут оказаться слишком специфичными для «локальной» защиты, что может создать препятствия для трансграничной деятельности, в частности, применительно к маркировке иностранных вызовов.

Эффективные и своевременные меры

Ранее пакет законов о «суверенном интернете» ограничил маршрутизацию данных, ужесточил требования к локализации инфраструктуры и усилил контроль над трафиком. Несмотря на критику, эффективность таких мер была доказана. Аналогично, закон об обязанностях операторов персональных данных усилил контроль, требования к хранению и ввел штрафы за утечки, что привело к росту инвестиций в защиту и аудит безопасности у ИТ-компаний, банков и госорганов.

Инициативы по борьбе с банковским мошенничеством, включая двухфакторную аутентификацию, показали частичную эффективность, но уязвимости в фишинге и социальном инжиниринге сохранились. Тем временем глобальные стандарты (GDPR, NIS2), устанавливающие строгие требования к защите данных и безопасности систем, становятся мировыми референсами, и компании, работающие на международных рынках, уже вынуждены им соответствовать.

Новая эра регулирования

Пакет поправок объемом в 54 страницы может ознаменовать новую эру в регулировании, в частности, мобильной связи.

В ближайшие 1-2 года ожидается разработка нормативных актов и, возможно, поправок в законы, например, о защите персональных данных. Начнется внедрение технических систем (маркировка звонков, реестры согласий), к которым операторам, банкам и сервисам придется адаптироваться, пересматривая политики безопасности. Не исключены споры по вопросам внесудебной блокировки и использования биометрии.

В долгосрочной перспективе, на горизонте 3-5 лет, эти меры могут заложить основу для создания универсального стандарта цифровой безопасности. Этот стандарт, вероятно, потребует адаптации не только внутри России, но и в рамках сотрудничества с международными партнерами, особенно в контексте трансграничной цифровой торговли и обмена данными.