Комментарии 7
Нужно просто сделать x2-4 штраф за сокрытие утечки.
Раньше хакеры искали бреши в защите компаний для того, чтобы добыть данные и продать их на черном рынке. Теперь будут искать еще и для того, чтобы зафиксировать факт утечки, предать это огласке (ведь сама жертва молчит) и таким образом подвести жертву под штраф. Еще один возможный сценарий конкурентной борьбы.
и вот если раньше возможно было такое, что если заметил уязвимость и обратился к владельцу, чтобы тот исправил, то теперь за такое точно спасибо не скажут.
умнее было бы штрафовать не за сам факт утечки, а за халатное отношение к безопасности: утечки бывают у абсолютно всех (даже у таких гигантов, как Гугл или Мета**), что означает, что почти невозможно сделать абсолютно защищённую систему (как минимум, очень уязвимы прокладки между стулом и монитором). но вот за всякое элементарное типа $DB.select("select "+$POST["field"]+" from users") надо бить долго и очень больно. особенно когда такие тикеты висят годами, а владелец отбрехивается "это не критично, и вообще это не баг а фича", исполнитель (кодер) подрабатывает в свободное время от учебы и про азы безопасности ещё и не слышал (ну да, бизнес гонит "сделай за 5 минут хоть абы как, нам эта фича нужна ещё вчера".
вот и получается, что у соседа дверь висит на соплях, ему говорят а он и в ус не дует, но открывать эту дверь нельзя. а с другой стороны, даже мастера спорта положит на лопатки пуля, так очень ли он в том виноват?
И для чегоже они стали чаще скрывать? Закон еще обсуждается и когда вступит в силу не будет иметь обратной силы.
А вот уже сейчас в некоторых компаниях при проверке контрагентов одиним из критериев благонадежности (кажется еще в 44-ФЗ или 223-ФЗ) считается отсутствие такиех инцидентов за определенный период.
Репутация? Врятли. Яндекс и всякие деливери не думаю что сильно пострадали после своих утечек. У РЖД утекли пароли от кучи сетевого оборудования, да кто это помнит?
Российские компании стали чаще скрывать утечки персональных данных из-за закона об оборотных штрафах