Беда заказчика. Есть потребность в продуктах, которые будут удобно встраиваться в действующие ИТ-системы

Беда заказчика. Есть потребность в продуктах, которые будут удобно встраиваться в действующие ИТ-системы

Согласно текущему российскому законодательству, к персональным данным (ПДн) относятся те данные, по которым можно безошибочно идентифицировать их владельца. И утечки такой информации критичны: владелец данных может понести финансовый, репутационный и иной ущерб. А утечка обезличенных персональных данных не является утечкой ПДн, если опираться на определение, данное в законодательстве, ведь невозможно установить, кому принадлежат эти данные. Потому такая информация менее интересна для злоумышленников.

Но хотя сама по себе утечка обезличенных данных не несёт угрозы, важно защищать исходный массив, так как согласно 152-ФЗ «О персональных данных» обезличивание персональных данных — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Поэтому специфика утечки заключается в том, что даже при всех имеющихся технологиях обезличивания оригинальный массив данных всё равно сохраняется и к нему могут получить доступ как инсайдеры, так и внешние злоумышленники. Поэтому оригинальный массив должен защищаться также,  как и любые другие конфиденциальные данные, например, с помощью использования разграничения прав доступа, криптографии, систем предотвращения утечек и других технических средств.

В вопросах обезличивания данных есть ещё один важный момент — он связан с отраслевой спецификой современных информационных систем. Наше государство поддерживает активное развитие систем искусственного интеллекта, а для его обучения требуются большие массивы обезличенных данных. И здесь важен не столько сам процесс обезличивания, сколько понимание потребности в объёмах и задачах, для которых планируется такие данные использовать. При этом с ростом количества госуслуг, переходящих в цифровой формат, растёт и количество необезличенных массивов данных граждан, которые необходимо защищать.

Для ряда отраслей эта задача критически важна. Например, в медицине идёт активное развитие телемедицинских технологий, а бюджеты на ИБ закладываются в меньших размерах. И это несмотря на то, что, по данным нашего исследования «Ситуация с ИБ в компаниях России и СНГ», с утечками данных столкнулось 20% организаций из сферы здравоохранения. Этому есть объяснение: помимо Ф. И. О. в базах данных хранятся чувствительные данные о состоянии здоровья, а концепция по ИБ в здравоохранении ещё не стала обязательным работающим актом. Объединение подходов к работе с данными ожидается в рамках нового федерального проекта «Экономика данных», который будет разработан к 2024 году. Там, как ожидается, будут присутствовать все направления, в том числе безопасность данных.

На настоящий момент методологический аспект вопроса защиты персональных данных через обезличивание реализован в виде Белой книги, которую разработала Ассоциация больших данных. Однако эти практики пока не закреплены в виде государственных стандартов или на уровне регуляторов. Методология начинается со всеобъемлющего описания чувствительных данных: какие они бывают, как математически формируются и так далее. В этой работе активно участвуем и мы. Далее уже можно прорабатывать конкретные методики обезличивания для разных типов данных.

Сегодня основной проблемной точкой тематики обезличивания персональных данных являются неверные трактовки понятия обезличенных данных. В результате некоторые заказчики до конца не обезличивают данные, и по ним всё равно можно восстановить исходного владельца. Такие данные по закону не являются обезличенными и нуждаются в защите.

Поэтому с точки зрения практических задач на рынке есть потребность в отечественных, сертифицированных и безопасных системах, которые будут удобно встраиваться в ИТ-системы заказчиков. То есть заказчик не сам придумывает, каким способом ему обезличивать персональные данные, а использует готовое решение, которое автоматически обезличивает данные и при этом совместимо с подавляющим большинством продуктов корпоративного ПО.