Конференция «Защита данных» прошла 7 апреля в Москве, в здании «Холидей Инн Сокольники». Живой интерес к основной теме мероприятия был подогрет ужесточением ответственности за утечку и неправомерное использование персональных данных, вступлением в силу 30 мая текущего года поправок в КоАП РФ и началом применения оборотных штрафов на компании.
Открывая панельную сессию, её модератор, заместитель начальника УОИБ департамента по обеспечению безопасности Банка ВТБ Сергей Пазизин, сделал акцент на практическом характере конференции. Игрокам рынка необходимо разобраться в нюансах нового законодательства, чтобы снизить риски утечек ПДн. Тут возникает много разноплановых вопросов — от выбора технических средств защиты до поиска концептуального осмысления: куда мы идём и какова конечная цель нашего развития? Ведь были времена, когда телефонные справочники публиковались и распространялись без всякого ограничения. Может быть, и мы пойдём стройными рядами в «новый дивный мир» открытости и общедоступности, задался вопросом модератор.
Спикер, выступивший первым, президент аналитической компании «Крибрум», член Совета при Президенте РФ по развитию гражданского общества и правам человека Игорь Ашманов, обозначил сложившуюся вокруг утечек ПДн и мошеннических атак ситуацию как чудовищную. Если несколько лет назад у граждан похищали 50 млрд рублей, то по результатам прошлого года, судя по данным МВД, — это уже 200 млрд. По словам Ашманова, реальность гораздо хуже и, наверное, в настоящее время воруют примерно один миллиард в день. Экономика данных реально работает, только не на нас, а на мошенников.
Ашманов привёл пример с инцидентом «Яндекс.Еда», когда утекли в сеть миллионы учётных записей, а ответственные отделались штрафом в 60 тысяч рублей. Давно назрела необходимость ужесточения наказания в виде более значительных штрафов и введения «уголовки», но «этот закон два года не могли принять из-за лоббирования цифрового бизнеса», считает эксперт. Оборотные штрафы могут не иметь большого стимулирующего действия, так как у реальных виновников утечек есть надежда избежать наказания, поэтому риск возбуждения уголовного дела даст больший эффект. К тому же компании уже включили оборотные штрафы в бизнес-план.
Как отметил Игорь Ашманов, такая «абсолютная безответственность при бешеном накоплении персональных данных цифровым бизнесом, долго продолжаться не могла... Так что этот закон будут ещё докручивать». В условиях массового сбора данных не помогут ни технические средства, ни биометрия, ни криптография. По мнению спикера, представители крупного бизнеса стараются убедить чиновников, что данные нужны для развития индустрии. Но сферы, где они реально нужны, немногочисленны: например, в «оборонке», силовых структурах, медицине, связи, транспорте. А «безумный сбор данных» нужен бизнесу для рекламы своих товаров и увеличения продаж. Любой наш гражданин — это слабое звено взаимодействия, поэтому вторжение в приватное пространство должно приводить к уголовной ответственности, а персональные данные должны стать токсичными, как радиоактивные материалы, резюмировал эксперт.
Основатель и CEO компании Privacy Advocates, соучредитель и член правления Russian Privacy Professionals Association Алексей Мунтян сосредоточил внимание аудитории на тревожных трендах в информационном поле. Во-первых, наблюдается поляризация отношения людей к приватности в целом. У одних есть желание извлечь выгоды: условно говоря, продать персональные данные за чашку кофе. У других — протест, активизм и паранойя. Такая симптоматика свидетельствует о том, что в юридическом плане у нас не всё хорошо с защитой ПДн.
Второй тренд отражает приватность как привилегию и статус, так как некоторые люди могут позволить себе лучше защитить свои персональные данные, платя за это больше денег. Таких людей, которые понимают ценность личных данных и готовы платить, будет становиться больше. Третий тренд проявляется в исчерпании модели охраны приватности. Мунтян провёл небольшой опрос и выяснил, что для большинства персональные данные прежде всего ассоциируются со словом «согласие». И это очень печально, так как у нас защита ПДн становится для компаний «бухгалтерией». Мы не видим с их стороны попыток минимизировать обработку ПДн, умно подходить к этому вопросу. К сожалению, согласие фактически выполняет роль своеобразного «подорожника», который можно прикладывать ко всем сомнительным местам.
Персональные данные — это взрывоопасный актив, который может взорваться у вас в руках в любой момент времени, считает эксперт. Но, безусловно, с ними необходимо работать — без этого никуда. Сложившееся в обществе напряжение говорит о кризисе правового режима обработки и защиты ПДн. По мнению Алексея Мунтяна, многие нормы имеют свои истоки в прошлой эпохе, поэтому сейчас мы наблюдаем устаревший концепт, который нуждается в модернизации. Государство также считает текущую ситуацию с утечками ПДн и практиками многих компаний по их обработке социально неприемлемой. Но желательно обсуждать законопроекты не только между государством и бизнесом, но также привлекать к этому экспертное сообщество и граждан.
Другой спикер, советник по информационной безопасности ФБК CS, доцент кафедры КБ КВО РГУ им. Губкина Андрей Курило, остановился на главных целях действующей стратегии, которые заключаются в защите жизненно важных интересов личности путём повышения защищённости КИИ. Главный приоритет — обеспечение доступности, целостности и конфиденциальности данных.
Проблема в том, констатировал Курило, что на той, враждебной стороне базу данных использует армия людей (примерно 70 тысяч человек), технически хорошо оснащённых. Утраченные данные очень долго сохраняют свою актуальность и будут использованы на протяжении всего срока жизни человека. С этим нам придётся жить. К сожалению, абсолютная защита невозможна. Контроль не должен сводиться к выполнению требований вместо обеспечения защищённости. В итоге приходим к тому, что нужно сокращать количество обрабатываемых данных, заключил эксперт.
Директор по стратегическим проектам Ассоциации больших данных Ирина Левова уделила главное внимание юридическим аспектам. Введение новых видов ответственности — как уголовной, так и административной — ставит ряд сложных вопросов перед бизнесом из-за двусмысленности и неопределённости некоторых формулировок в законах. Если говорить о смягчающих обстоятельствах, то представителям бизнеса хотелось бы получить дополнительные разъяснения по поводу расходов оператора на мероприятия по обеспечению ИБ и подтверждения соблюдения требований к защите ПДн.
Также необходимы разъяснения регулятора в части состава преступления за незаконное использование, передачу, сбор, хранение ПДн, полученных путём неправомерного доступа (ст. 272.1 УК РФ). Естественно, двусмысленность в юридических формулировках вызывает у бизнеса беспокойство, так как в случае инцидента и наступления ответственности её тяжесть будет зависеть от трактовки статьи закона. Вот почему компании заранее стараются заложить минимальный размер штрафа в рисковый бюджет.
На протяжении дня в залах конференции проходили многочисленные дискуссии на тему защиты от НСД на конечных устройствах, контроля данных, маскирования и шифрования данных, контроля каналов утечки данных, а также аутентификации и управления доступом. Были проведены практический круглый стол «Как сформировать стратегию действий и защиты в ходе проверки регулирующих органов» и практический мастер-класс «Управление проблемами коммуникации службы ИБ и других сотрудников компании».
Так, в ходе дискуссии «Контроль данных», где модератором выступал генеральный директор MAKVES Роман Подкопаев, участники обсудили российские DCAP-системам и сложности их внедрения и интеграции. Эксперты сошлись на том, что DCAP не заменяет другие технические средства, например, DLP — ведь каждая система выполняет свою важную функцию. Но бывают проблемы с тем, чтобы довести свою позицию эксперта ИБ до руководства компании. Даже прозвучало полушутливое предложение: следовало бы организовать для вендоров курсы по обучению тому, как правильно общаться с бизнесом.
Один из спикеров на панельной сессии вспомнил цитату китайского мыслителя Сунь-цзы: «Стратегия без тактики — самый медленный путь к победе. Тактика без стратегии — это просто суета перед поражением». Говоря о проблеме конфиденциальности ПДн, Сергей Пазизин заметил: стопроцентную защиту можно обеспечить, если выбивать персональные данные каменным топором на скале, как в первобытные времена. Но хотелось бы совместить защиту ПДн и использование современных информационных технологий. Видимо, выход надо искать в гармоничном сочетании стратегии и тактики в решении актуальной проблемы защиты данных.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
