Технология, требования и их реализация. «Хочется надеяться, что в будущем получится прийти к балансу»

Технология, требования и их реализация. «Хочется надеяться, что в будущем получится прийти к балансу»

По нашим оценкам, на сегодняшний день всё стремится к единой систематизации по обезличиванию данных. Однако пока рано говорить о её полной реализации. Связано это с тем, что исполнение регуляторных требований со стороны операторов, обработчиков и владельцев персональных данных оставляет желать лучшего.

Сложно точно определить, почему так происходит. Возможно, включается человеческий фактор и необходимо более ощутимое наказание за утечки и раскрытие подобной информации, что, к слову, сейчас рассматривается на уровне государственных регуляторов. Либо дело в отсутствии прямой корреляции между произошедшими инцидентами и продолжением деятельности пострадавших компаний. Ведь многие из нас могут найти свои данные в слитых базах, понимают, какая компания была ответственна за их потерю и должна была их защитить, но продолжают пользоваться предлагаемыми сервисами.

ОБ УНИВЕРСАЛЬНЫХ ПОДХОДАХ

Недавно стало известно о том, что несколько крупных российских компаний отрицательно отозвались о создании единой ГИС для хранения персональных данных как раз из-за того, что обезличивание информации предполагается только после того, как она будет передана в государственную ИС. Возникает закономерный вопрос: кто будет виноват в случае их публикации? 

Сейчас подход к обезличиванию ПД определённо индивидуален, и это в некоторых случаях выгодно и заказчику, и интегратору, и регулятору. Но хочется надеяться, что в будущем получится прийти к балансу между технологией, требованиями и их реализацией, что в конечном счёте поможет всем заинтересованным сторонам. 

Независимо от целей обработки и вида персональных данных их обезличивание должно гарантировать, что ПД будет невозможно нелегитимно деанонимизировать. Также важно, чтобы технология быстро и эффективно могла обработать не только текст, но и изображения, аудио, видео.

С нашей точки зрения, единый кросс-индустриальный подход возможен в однообразных случаях использования персональных данных, но предметно-ориентированные технологии останутся для более сложных кейсов. Конкретные технические решения могут кардинально отличаться. Это, собственно, и является ограничением для реализации единого подхода: одно дело — сбор и систематизация ПД абитуриентов, поступающих в вуз, и совсем другое — использование ML-моделей в телемедицине. Объём обрабатываемой информации, территориальная расположенность центров её сбора, критичность данных, архитектура информационных систем, требования к безопасности в них, однозначная формулировка требований регулятора и инструкции, чёткое понимание того, зачем и как обезличивать данные, — всё это не позволяет создать некий один универсальный алгоритм, подходящий для всех случаев. 

КЛЮЧЕВЫЕ ПРОБЛЕМЫ

По нашим наблюдениям, сегодня одна из ключевых проблем области обезличивания данных — недостаточная эффективность применяемых методов. Существующие варианты обезличивания не всегда обеспечивают высокую степень защиты персональных данных. Это может происходить, в частности, из-за некорректного применения этих методов, что может приводить к возможности идентификации отдельных лиц в обезличенных данных.

Ещё одной проблемой является расширение объёма данных, которые собирают и хранят организации. С ростом объёма персональных данных становится сложнее обезличивать эти данные без ущерба для их ценности. Большие объёмы информации могут содержать различные сведения, которые в комбинации с другими источниками информации могут быть использованы для идентификации личности.

Анализ социальных сетей также представляет серьёзную проблему в области обезличивания данных. Социальные сети и интернет-платформы собирают огромное количество персональных данных пользователя, и эти данные могут быть использованы для связи между различными аккаунтами или услугами. Это создаёт риск отслеживания и идентификации пользователей даже при использовании методов обезличивания.

Уязвимости и атаки — ещё один важный аспект проблемы обезличивания данных. Несмотря на то что принимаются меры по обезличиванию, существуют возможности для злоумышленников обратить процесс и восстановить исходные персональные данные. Уязвимости в алгоритмах шифрования, слабые меры безопасности и неправильное использование методов обезличивания могут потенциально компрометировать данные.

Законодательство, в свою очередь, также играет важную роль в области обезличивания данных. Различные страны имеют разную степень зрелости законодательства, касающегося обезличивания данных, что создаёт сложности в обеспечении соответствия требованиям защиты данных в разных юрисдикциях. Это может затруднить разработку однородных и эффективных методов обезличивания, которые бы удовлетворяли требованиям всех стран.

КАК СПРАВИТЬСЯ С ЗАДАЧЕЙ?

Учитывая вышеуказанные проблемы, для успешной реализации обезличивания важно разрабатывать и применять совместные решения, которые включают правильное применение методов обезличивания, улучшение стандартов защиты данных, развитие современных алгоритмов обезличивания и эффективное функционирование соответствующих правовых рамок. Только тогда можно надёжно обезличить данные и обеспечить безопасность персональной информации.

Идеальное решение обезличивания данных для российских ИТ-компаний должно сочетать высокий уровень безопасности и простоту внедрения. Оно должно обеспечивать эффективную защиту персональных данных с соблюдением всех требований законодательства.

Особое внимание стоит уделить именно безопасности данных. Идеальное решение должно гарантировать сохранность информации и защиту от несанкционированного доступа. Также оно должно быть способно оперативно и эффективно обрабатывать большие объёмы данных, учитывая разнообразие форматов и источников данных, с которыми могут столкнуться российские компании.

Ещё одним важным аспектом является возможность масштабирования решения. Оно должно быть гибким и адаптируемым к потребностям компании, позволять легко настраивать и обновлять правила обезличивания, а также поддерживать новые требования и изменения в законодательстве.

Можно ли в таких условиях компаниям рассчитывать на получение коробочного решения обезличивания? Решение в виде «коробки» возможно в качестве базовых настроек по обезличиванию персональных данных, но дальнейшую тонкую настройку под конкретную отрасль, цель и задачи компании необходимо производить самостоятельно.

Хотите поговорить об утечках информации? Приглашаем вас на конференцию «Защита данных: сохранить всё», которая пройдет 23 октября в Москве. Это первая в России конференция с фокусом на защите данных на всём их жизненном цикле: хранение, контроль доступа, обнаружение, инвентаризация, структурирование, передача. Организаторы — ГК «Гарда», Медиа Группа «Авангард» при поддержке ФСТЭК России.