

— В 2024 году Роскомнадзор зафиксировал 135 случаев утечек баз данных, в которых содержалось более 710 млн записей о россиянах. Чем объясняются, на Ваш взгляд, такие большие объёмы утечек? Видите ли Вы тенденции к улучшению ситуации с безопасностью и целостностью данных?
— Последние годы в целом характеризуются ростом кибератак, которые достигали своих целей и нередко приводили к утечкам. Видимо, это стало отражением глобального тренда, обусловленного сложной геополитической ситуацией. Кроме того, истории с утечками ПДн оказались в фокусе внимания. Их активно стали обсуждать, может быть, в силу изменений в законодательстве или возрастания масштабов явления.
Могу только предположить, что ситуация будет стабилизироваться. Количество утечек ПДн, как минимум, должно перестать расти, по причинам, связанным с ужесточением законодательства и усилением мер защиты. Сами пользователи становятся более информированными и ищут способы себя обезопасить.
— В прошлом году был принят ряд поправок в законодательство, касающихся процесса обработки и защиты персональных данных. Какие из них Вы считаете наиболее важными и полезными? Станут ли они стимулом для компаний пересмотреть своё отношение к защите данных в лучшую сторону?
— Действительно, наша законодательная ветвь власти подготовила свой ответ на угрозы, который представляется весьма своевременным. Теперь нарушение законодательства в сфере защиты ПДн чревато чувствительными последствиями, вплоть до потери бизнеса. В принципе вся индустрия кибербезопасности восприняла новые законодательные инициативы положительно, поскольку ранее ответственность за нарушения было крайне скромной и не воспринималось всерьез операторами ПДн и не мотивировала их реально вкладываться в средства защиты.
Из важного безусловно выделю оборотные штрафы. Раньше штрафы не были существенными для физлиц должностных лиц, а штрафы для организаций вообще выглядели ничтожными. По моему личному убеждению, большинство компаний, с точки зрения защиты персональных данных, реализовывало стратегию принятия риска утечки. Сейчас в вопросе оборотных штрафов речь идет об очень серьезных суммах — с верхним ограничением на уровне 500 миллионов рублей. Добавим к этому также имиджевые потери. Теперь операторам видится более целесообразным от стратегии принятия риска перейти к стратегии его минимизации.
Подготовленные законодателями изменения предусматривают как кнут, так и очень условный конечно, но пряник. Если у организации все-таки случится утечка ПДн, то потенциально большой штраф можно существенно сократить при наличии двух смягчающих обстоятельств, которые действуют одновременно. Первое — оператор на протяжении последних трех лет активно инвестировал в защиту ПДн и в целом в укрепление информационной безопасности.
И второе — оператор регулярно проводил аудит на предмет нормального функционирования ИБ. В итоге ситуация тоже должна измениться. Эти оборотные штрафы не самоцель: они должны запустить процесс, когда компании начнут вкладываться в ИБ, она начнет работать, и утечек, по факту, станет меньше.
— Считаете ли Вы достаточными принятые меры регулирования или следует ужесточить их еще больше, в частности в отношении преступников, по вине которых происходят утечки ПДн и неправомерное их использование?
— Помимо административного наказания, вводится уголовная ответственность в отношении злоумышленников (хакеров). Появились статьи за неправомерную обработку, передачу данных и т. д. Злоумышленником может быть и сотрудник оператора связи, но здесь уголовное право применимо исключительно к физлицам, к гражданам, а не к компании.
Так что на уровне законодательства ужесточили требования и к операторам, и к злоумышленникам, чтобы соблюсти некий баланс. Наверное, на текущий момент принятых мер достаточно: нельзя одномоментно делать очень большие изменения. Надо оценить эффект от принятых мер, прежде чем ужесточать их дальше.
— Какие технические решения сегодня позволяют обеспечить надежную защиту от утечки данных? Какие возможности есть у компаний для того, чтобы предотвращать эти утечки или производить эффективные действия по минимизации ущерба?
— В информационном, правовом поле России есть определённые требования по обеспечению безопасности информационных систем персональных данных, выпущенные регулятором в лице ФСТЭК России. Понятно, что есть еще требования отраслевые и так далее, но ФСТЭК России и ФСБ России — это два основных федеральных регулятора.
Уже достаточно давно существует приказ ФСТЭКа №21 о том, как надо защищать персональные данные. С точки зрения правового регулирования, он относится к органам власти, а не к бизнесу. Однако там содержатся требования, которые написаны экспертами, уже много лет существуют и апробированы. И я считаю хорошим подходом со стороны бизнеса брать эти требования за эталон. Естественно, с учетом профиля конкретной компании. Методичная реализация мер защиты из 21-го приказа ФСТЭК однозначно может минимизировать риски реальной утечки.
Понятно, всегда рвется там, где тонко. И если у вас какая-то мера защиты не реализована, скорее всего, там и пройдет атака. Поэтому нужны комплексный подход, лучшие практики, в том числе следование рекомендациям регулятора.
— Какие цифровые продукты и решения, способные минимизировать возможный ущерб для оператора ПДн, может предложить клиентам компания UserGate как опытный игрок на рынке информационной безопасности?
Мы, как и, наверное, все российские вендоры, периодически проводим трассировку требований регулятора на функциональность наших средств защиты. Таким образом, у нас всегда есть четкое понимание, какие меры защиты информационных систем персональных данных реализует наш продукт.
Мы занимаемся разработкой и внедрением решений класса NGFW более 15 лет. По большому счету, мы пионер в создании российских NGFW. Это сложный продукт с обширной функциональностью, который реализует большое количество мер защиты из нормативных требований регулятора. И если необходимо начинать построение системы безопасности с нуля, в том числе для защиты персональных данных, считаю эффективным начать строить безопасность с таких метапродуктов.
Когда мы ставим на периметре сети межсетевой экран следующего поколения, то одним этим продуктом закрываем несколько десятков мер защиты из приказа ФСТЭК. Безусловно, это не панацея, потому что есть другие домены безопасности, кроме сетевого. Но межсетевой экран хорош тем, что он находится на границе сети, отделяя её от внешнего агрессивного мира.
— Какие еще меры необходимы, чтобы произошел психологический перелом в обществе и случаи утечек с использованием личной информации в преступных целях стало чем-то из ряда вон выходящим?
— В целом, решений было принято достаточно. Стоит дать время для их реализации. При этом я бы уже выделил два позитивных аспекта. Во-первых, сейчас кибербезопасность становится доступнее. Возможно, через какое-то время это даст качественное изменение ландшафта. Ведь когда-то эти услуги и решения были очень дорогими и доступными только для крупных корпораций. Сейчас появляются целые линейки решений, рассчитанные на клиентов в диапазоне от малого бизнеса до крупной компании.
Очень многое переходит сейчас в сервисную модель — Managed Security Service Provider, информационную безопасность по подписке. Безопасность становится доступней, как с точки зрения продуктов, которые можно себе позволить, так и возможностей аутсорсинга.
И второй важный аспект — это осознанность. Все-таки со временем появляется больше информации, тема ИБ проникает в различные сферы науки, техники, «народного хозяйства». Люди в это погружаются, начинают больше думать об информационной безопасности, как личной, так и корпоративной.
Так что рано или поздно количество должно перейти в качество. И наступит момент, когда уже не останется людей, не подготовленных к банальным мошенническим схемам. Доступность конкретных решений и услуг, а также информации о защите информации в целом трансформируют сферу кибербезопасности: она перестает быть чем-то кулуарным, а становится просто частью нашей жизни.
Вопросы задавал Усам Оздемиров
Реклама. ООО «ЮЗЕРГЕЙТ», ИНН: 5408308256, Erid: 2Vfnxx4JWZv
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных