Защиту данных с точки зрения регуляторов и бизнеса обсудили участники регуляторного трека в рамках прошедшей вчера в Москве конференции «Защита данных: сохранить всё». Начал дискуссию Дмитрий Шевцов, начальник управления ФСТЭК России — он рассказал об успехах службы за последний год и мероприятиях по защите данных.
Шевцов напомнил, что в сложившейся сегодня ситуации регулятор и поднадзорные организации находятся на одной стороне баррикад, повышая уровень защищённости информации.
У ФСТЭК есть чётко очерченная сфера деятельности:
- госсектор, государственные информационные ресурсы;
- информационная безопасность критической информационной инфраструктуры РФ, для чего были созданы требования и осуществляется контроль их исполнения;
- вопросы установления состава и содержания мер и способов обеспечения безопасности персональных данных.
На каждый вопрос информационной безопасности необходим ответ в нормативно-правовых актах. По мнению регулятора, документы должны быть по каждому вопросу понятны и прозрачны. Проблема состоит в том, что эти требования многие представители отрасли не читают. «Важно, чтобы документы ещё и исполнялись», — отметил спикер.
За прошедший год ФСТЭК РФ подготовила методические документы и руководства, в том числе по организации процесса управления уязвимостями в органе власти или организации, оценке уровня критичности уязвимостей программных, программно-аппаратных средств. В части сертификации средств защиты информации (СЗИ) подготовлены требования к средствам контейнеризации и виртуализации, к многофункциональным межсетевым экранам уровня сети (NGFW), к системам управления базами данных (СУБД).
В части требований к NGFW на сегодня нет отечественных решений, которые полноценно соответствуют требованиям, уточнил докладчик. Разработчикам межсетевых экранов поставлены сроки по приведению программно-аппаратных комплексов в соответствие с требованиями к весне 2024 года и подтверждению соответствия им ПАК.
Дмитрий Шевцов также отметил, что ранее разработчики сертифицировали только прикладное ПО, оставляя за рамками процесса саму СУБД. Сейчас концепция меняется, и в части новых требований по безопасности информации к СУБД ФСТЭК настоятельно рекомендуется использовать только сертифицированные системы управления базами данных.
Сейчас служба активно работает над тем, чтобы СЗИ разрабатывались безопасно в доверенной среде. Разработчики таких продуктов получат преференции при испытаниях СЗИ и их сертификации. Помимо этого, ведутся работы по исследованию безопасности ядра Linux в созданном на базе ИСП РАН под эгидой ФСТЭК России Технологическом центре исследования безопасности ядра Linux. Аналогичные работы ведутся и в других направлениях, в том числе защиты данных. В планах ведомства на следующий год переработка уже действующих требований с учётом мнения экспертного сообщества.
Больную для бизнеса и отрасли ИБ тему оборотных штрафов затронул Владимир Маслов, директор Департамента цифровых технологий Торгово-промышленной палаты РФ. Он заметил, что предприниматели неактивно идут навстречу регуляторам, так сложилось исторически. Однако ТПП РФ ведёт работу по организации взаимодействия с регуляторами.
Оборотные штрафы могут привести к банкротству компаний, несмотря на выделенные ИБ -бюджеты. Особенно это касается предприятий малого и среднего бизнеса (МСП). Это же касается и позиции вендоров, которые не видят разницы между крупными предприятиями и компаниями МСП. Что потенциально может использоваться и в конкурентной борьбе. Поэтому необходима дифференциация штрафов в зависимости от размеров организации, поскольку штраф ослабит финансовые возможности компании для устранения последствий инцидента.
Представитель ТПП РФ полагает, что стоит подумать о просветительской деятельности и поддержке развития ИБ. Есть вопросы и по ответственности за неуведомление о нарушении, и по размерам штрафов за повторные нарушения, которые нанесут непоправимый ущерб МСП, и по срокам продления переходного периода.
Владимир Бенгин, директор Департамента обеспечения кибербезопасности Минцифры России, в свою очередь, констатировал, что при расследовании утечек возникает вопрос, как и зачем хранили те данные, которые утекли. «Одна из задач регулятора — не сбор оборотных штрафов или закрытие каких-то компаний и бизнесов, не наполнение бюджета, а снижение числа утечек», — напомнил представитель регулятора.
Есть два подхода:
- снижать объём хранения информации, минимизировать сбор ПДн;
- защищать ПДн.
Важно добиться того, чтобы у компаний не было утечек. Вне зависимости от того, как организовано хранение данных, компания должна нести ответственность за нарушения. Необходимо, чтобы она довлела на организацию. «Если у вас есть ИТ и данные, займитесь тем, чтобы эти данные не утекли», — заключил Бенгин.
О проблемах ИБ для промышленных холдингов говорил Александр Кириллов, советник генерального директора по информации «Северсталь-групп». Он отметил: бизнес оценивает риски и затраты. У компании «Северсталь» большой бюджет на ИБ, но львиная его часть уходит сегодня на импортозамещение. При этом в части решений корпорация не может найти отечественных решений, которые удовлетворят все её потребности.
Борис Мирошников, вице-президент по информационной безопасности группы компаний «Гарда», обратил внимание на то, что сегодня человеку невозможно спрятаться от цифрового мира, как предлагали участники другой дискуссии. Интерес для преступников представляют все люди — об этом говорит как статистика сбора ПДн и последующих их утечек, так и рост числа краж средств со счетов граждан. А в некоторых случаях использование данных для шпионажа, мошеннических сделок и шантажа. Всё это оказывает влияние на жизни и судьбы людей.
Держатель персональных данных трудящихся России и части стран СНГ Виталий Терентьев, CSO и GR-директор HeadHunter, поспорил с утверждением коллег, что у личных данных есть стоимость. «Любые ПДн надо защищать — их нельзя оценить, — заявил спикер, напомнив про репутацию компаний, допустивших утечки, и реакции на это пользователей соцсетей. – Данные — это новое золото. Мы живём в мире со стеклянными стенами. Про любого из нас профессионал за пять минут с помощью смартфона соберёт такой объём информации, что можно заниматься и шантажом и многим другим. Поэтому нельзя бороться с тем, что уже давно есть — надо брать и управлять этим, и регуляторика должна идти в эту сторону».
GR-директор HeadHunter поддерживает введение оборотных штрафов и ответственность за утечки. Но обращает внимание на низкую цифровую грамотность судебного корпуса, который столкнётся с непонятными вопросами из незнакомой сферы деятельности. В этом процессе также будет задействовано огромное количество специалистов, помимо ИБ, и во многих случаях передача данных этим службам противоречит закону.
Обращая внимание на импортозамещение и переход с западных решений на отечественные, спикер сообщил об острой нехватке высококвалифицированных специалистов, которые могут осуществить миграцию данных на новые решения и последующее их обслуживание. Такие специалисты — штучный товар, что не понаслышке знает HeadHunter. Этот и другие нюансы не учитываются нормативно-правовыми актами. Ещё один волнующий Виталия Терентьева аспект проблемы импортозамещения — тот факт, что отечественные компании в своём развитии «закукливаются» и не учитывают западный опыт. В перспективе это грозит отставанием.
Отвечая на вопросы «что делать» и «где найти новые технологии» Дмитрий Шевцов подчеркнул, что при расследовании инцидентов часто выясняется, что для многих компаний защита информации не является гигиеной. Проблемы последних инцидентов связаны с неправильной эксплуатацией и использованием СЗИ, отсутствием внутреннего контроля и удалённых подключений, контроля подрядчиков... Необходимо соблюдать базовые принципы защиты информации и использовать те СЗИ, которые доступны на рынке, надо тестировать их и развивать. Шевцов полагает, что введение контроля исполнения требований и аудита со стороны органов госвласти, ответственности за неисполнение заставит механизм защиты данных заработать. Этот тезис поддержал и Владимир Бенгин, добавивший, что каждый из присутствующих в зале знает тех, кто начинает выполнять требования регуляторов, когда сроки уже истекли и пришли контролирующие органы.
Виталий Терентьев поднял вопрос продления сроков импортозамещения и рассказал о проблемах, которые могут возникнуть в процессе перехода, а также о необходимости поддержки компаний в этом момент со стороны регуляторов.
Наконец, Владимир Бенгин напомнил о том, как важно повышать уровень киберграмотности и правильно строить системы — чтобы потом не зависеть от человеческого фактора. «Данные нужно защищать», — подытожил он, добавив, что в России есть порядка 4 млн операторов ПДн. При крупной утечке чаще всего есть чёткие параметры, указывающие на источник данных. Но есть и юридические проблемы доказательства факта утечки ПДн у конкретного оператора. Над этими вопросами и предстоит работать.