Помогут оборотные штрафы и другие меры. По мнению юриста
Защита персональных данных и вообще информации от утечек уже давно лежит не только и не столько в технической области, сколько в юридической и даже политической. Количество инцидентов растёт: по данным аналитиков, в 2023 г. число утечек в крупных компаниях увеличилось в полтора раза по сравнению с прошлым годом. Среди них такие, например, как двойная утечка данных бонусной программы «Сберспасибо» (суммарно 52,5 млн записей), ресурса zdravcity.ru (8,9 млн записей) и «Спортмастер» (46 млн записей).
Неудивительно поэтому, что всё больше усилий по обеспечению защиты информации предпринимают не только коммерческие компании, но и государственные организации. Каждый из регуляторов вносит свою лепту, выступая с новыми инициативами и подзаконными актами. Несмотря на то что это общемировой тренд, в России он имеет свою специфику.
ОСОБЫЙ ПУТЬ
Появившийся 15 лет назад закон о защите персональных данных изначально разрабатывался как один из документов, призванных обеспечить соответствие России требованиям ВТО (Всемирной торговой организации). Однако уже в тот момент регулирование пошло в сторону технической защиты информации. За прошедшие 17 лет тематика защиты персональных данных существенно эволюционировала. За это время закон многократно использовали отдельные государственные структуры, министерства и ведомства для решения собственных задач.
Так, он сыграл большую роль в поддержке отечественных производителей средств защиты информации. В 2008–2010гг. значительно вырос рынок решений информационной безопасности, на что серьёзно повлиял закон о персональных данных и то, что через пару лет после его появления регуляторы стали предъявлять технические требования по обеспечению безопасности. Особый акцент делался, конечно, на использовании сертифицированных средств ЗИ (в большинстве своём — отечественных).
Выраженный политический окрас применения закона о персональных данных виден в направлении, связанном с «приземлением» иностранных ИТ-компаний. Здесь всё строилось во многом на том, чтобы обязать зарубежных ИТ-игроков, обрабатывающих персональные данные граждан РФ, хранить такие сведения внутри страны. Это подразумевает создание центров обработки данных, установку серверов, разделение данных иностранных пользователей и российских и хранение последних на территории РФ. Здесь прослеживаются явно политические мотивы.
Несмотря на такую длительную историю развития как юридической, так и технической стороны защиты данных, проблема с утечками в России так и не решилась. Напротив, мы видим, что она становится острее год от года. По-прежнему остаётся много проблем как в техническом, так и в правовом поле. Если срочно не принять действенные меры, по нашему прогнозу, в ближайшие два-три года рост числа утечек данных в России будет составлять 50‒150% в год.
ПРИЧИНЫ БОЛЬШОГО КОЛИЧЕСТВА УТЕЧЕК
Очевидно, что государственное давление так и не привело к состоянию защищённости. Более того, основываясь на нашей практике по проведению судебных и внесудебных компьютерных экспертиз, можем заявить, что реальное количество и размер утечек существенно больше того, что мы видим в новостях.
Реальная безопасность персональных данных находится в России на довольно низком уровне, и у этого есть несколько основных причин:
- Отсутствие каких-либо репутационных последствий для организации, которая допустила утечку ПД. Она не испытывает отток клиентов по результатам инцидента. Российские граждане привыкли к постоянным утечкам и не относятся к сведениям о себе как большой ценности. Однако в действительности каждый новый инцидент приводит к последствиям. Появление на чёрном рынке всё новых баз со свежими данными россиян создаёт плодородную почву для массовых атак методами социальной инженерии. Именно актуальность имеющихся у злоумышленников сведений о гражданах является определяющим фактором успешности того или иного варианта мошеннической схемы.
- Чрезвычайно низкий финансовый ущерб для организаций, допустивших утечку имеющихся данных. Здесь нужно разделять сведения о юридических лицах и информацию о физических лицах. Дело в том, что в РФ по умолчанию открыто огромное количество данных о хозяйствующих субъектах. Например, ФНС публикует базы юридических лиц, судебная система также открыта, любой может найти сведения о судебных процессах организации и физлиц и так далее. Но наибольшее количество утечек связано с обычными гражданами, и это несёт в себе самую большую опасность для общества.
- Нарушение норм ИБ. В большинстве инцидентов, связанных с утечками, с которыми мы сталкивались, были допущены грубые нарушения лучших практик обеспечения информационной безопасности, а также действующих стандартов и нормативных документов. Стандартизация ИБ развивается много десятилетий. Всё, что нужно конкретной организации, — это систематически выполнять необходимые процедуры и требования. Однако для реального бизнеса это нетривиальная задача, хотя и вполне выполнимая. Компании, допустившие большие утечки, не всегда, но, как правило, совершали грубые нарушения требований безопасности.
- Проблема с кадрами. Дефицит специалистов каждый год нарастает, и это притом, что высшая школа в принципе не может подготовить достаточное количество специалистов с минимальными знаниями. Игра с переманиванием квалифицированных кадров превратилась просто в гонку зарплат. Спрос на все категории специалистов на рынке настолько высок, что его уже невозможно покрыть переподготовкой или новыми выпускниками.
ЧТО ДЕЛАТЬ?
Неужели, если организации и государственные структуры за столько лет не смогли решить проблему с утечками, это невозможно сделать? Это не так. Ниже приведём самые важные направления и меры, внимание к которым точно будет иметь нужный эффект.
- Самый большой потенциал по борьбе с утечками связан с введением оборотных штрафов за подобные инциденты. Реализация такой меры не сразу, но постепенно приведёт к сокращению их количества. Однако здесь важно адекватное администрирование данной нормы. С одной стороны, необходимо не допустить необоснованных и завышенных размеров штрафов, с другой — важно обеспечить и продемонстрировать неотвратимость штрафа или иных санкций для лиц и организаций, допустивших утечку.
- Введение оборотных штрафов также быстро позволит решить проблему недофинансированности направления защиты информации. Вопрос о том, как убедить руководство выделить средства на покупку какого-нибудь нужного продукта для защиты информации, — чуть ли не самый популярный на любом профильном мероприятии. И вот когда все увидят, что для бюджета гораздо менее болезненно выделить средства на ЗИ и принять меры, чем платить объёмные штрафы, дело сдвинется.
- Другим важным направлением в части борьбы с утечками является развитие и совершенствование нормативной базы. В частности, до сих пор нет чёткого определения, что такое «утечка данных». Это кажется странным, но это факт. Даже при обсуждениях под словом «утечка» каждый понимает что-то своё. И это лишь небольшой пример несовершенства нормативной базы, а таких «недопонятий» и несовершенств — множество.
- Также важно развивать стандартизацию ИБ и прививать культуру проведения периодических аудитов ИБ как технических, так и «бумажных». Например, сегодня отсутствует необходимость проведения оценки соответствия, тем более силами внешних аудиторов, для организаций, которые имеют отношение к критической информационной инфраструктуре. На мой взгляд, это неправильно. Нужно внедрять в регуляторику самые эффективные меры обеспечения безопасности и контролировать их систематическое применение.
- По результатам экспертиз, которые мы проводим после утечек, в 9 случаях из 10 мы выявляем очень примитивные причины. На техническом уровне — это отсутствие актуальных обновлений, слабые пароли и неправильные права доступа. Выявить такие ситуации можно периодическими пентестами. В теории можно снизить количество утечек в 10 раз только одной этой мерой. И примеры уже есть. Когда Банк России обязал банки проводить периодические пентесты каждый год, количество успешных атак на банки снизилось на порядок. Аналогичное требование можно выставить для держателей крупных баз персональных данных.
- Информационная безопасность как отрасль очень слабо автоматизирована. Подготовка любого отчёта, приказа, журнала и прочего происходит вручную силами дорогих специалистов. Всё взаимодействие с госорганами происходит по старинке. Нужен условный 1С для безопасности, который позволил бы ускорить и оптимизировать все процессы.
- Отдельное внимание нужно уделить работе с судебной системой. Это финальная точка регулирования. Именно здесь часто возникают проблемы, а после введения тех же оборотных штрафов проблем станет ещё больше. Судебная практика развивается несистемно, отсутствует единообразное понимание проблемы со стороны следственных органов и судей.
Если предпринять мощные и единовременные усилия по всем этим направлениям, возможно будет не только не допустить дальнейшего роста инцидентов, но и сократить их количество. Важно при этом, чтобы действия всех ответственных структур были хорошо скоординированы, понятны, чтобы организации осознавали их необходимость и поддерживали. От этого зависит будущее не только отдельных направлений и структур, но и страны в целом.
Хотите поговорить об утечках информации? Приглашаем вас на конференцию «Защита данных: сохранить всё», которая пройдет 23 октября в Москве. Это первая в России конференция с фокусом на защите данных на всём их жизненном цикле: хранение, контроль доступа, обнаружение, инвентаризация, структурирование, передача. Организаторы — ГК «Гарда», Медиа Группа «Авангард» при поддержке ФСТЭК России.