По оценкам Роскомнадзора, в 2022 году было зафиксировано более 140 случаев утечек персональных данных, а к апрелю 2023 года речь шла уже более чем о 40 крупных утечках. Участники дискуссии, состоявшейся в рамках первого Digital Awards Forum РБК Петербург, уверены: бороться с утечками нужно, вопрос только в том, как именно это делать и нужно ли при этом усиливать госконтроль этой сферы. Относительно последнего мнения эксперты разошлись. С одной стороны, без штрафов бизнес склонен принимать риски, ничего не меняя. С другой стороны, усиление штрафных санкций за утечки может привести к смерти отдельных компаний.
Кадры, деньги, два столпа
Проблема утечек персональных данных относится к числу весьма значимых, причем как для бизнеса, так и для отдельных людей. В рамках встречи один из экспертов рассказал о собственном опыте обнаружения утечки своих данных. Ее последствием стал просроченный микрокредит, испорченная кредитная история и большое количество потерянного времени на попытки восстановить справедливость, которые уже на протяжении года так и не увенчались успехом. Подчеркнем, речь идет о профессиональном айтишнике, хорошо разбирающемся в инфобезопасности и правилах хранения персональных данных — но навыки и квалификация в этом случае оказались бессильны. Это свидетельствует лишь об одном: утечки могут навредить любому.
Между тем эксперты подтверждают: бизнес в последнее время стал уделять гораздо больше внимания защите персональных данных. Среди трендов последнего времени участники дискуссии выделили рост престижа и влиятельности специалистов по информационной безопасности (ИБ) и инвестиций в защиту — это два столпа, которые смогут способствовать дальнейшему развитию сферы. Ведь были случаи, когда директору по ИБ приходилось «отрезать» предприятие с цифровым бизнесом от интернета, чтобы локализовать инцидент.
Как рассказал доцент Института кибербезопасности и защиты информации Санкт-Петербургского политехнического университета Петра Великого Евгений Павленко, 5 лет назад в рамках проекта по анализу практической защищенности одна из корпораций проверила три своих завода. А в начале года в проект были добавлены и остальные предприятия корпорации. «Это свидетельствует о том, что, если 5 лет назад менеджмент предприятий считал киберинциденты чем-то далеким и их не касающимся, то в последнее время отношение изменилось. Раз выросло количество атак, то усилилось и вливание дополнительных денежных средств в защиту от них. Также растет и потребность в кадрах. Если 10 лет назад набор на ИБ-кафедру был 30 человек, то сейчас — 200, и один из самых больших конкурсов по университету. При необходимости мы могли бы набрать 1000 студентов», — рассказал Павленко.
Практическая кибербезопасность
Однако именно с практической безопасностью у отечественных компаний до сих пор есть проблемы, убеждены эксперты. И частично ответственность за это лежит на регуляторе. «Раньше при формировании стратегии кибербезопасности любого бизнеса специалисты разделяли регуляторную защищенность компании и практическую безопасность, и все, что касалось защищенности персональных данных, уходило в комплаенс, мероприятия, которые надо выполнить, чтобы пришедший с проверкой Роскомнадзор не оштрафовал, — объясняет директор по безопасности «СберКорус» Иван Дмитриев. — Сейчас действительно и регуляторы, и бизнес потихоньку разворачиваются лицом в сторону практической кибербезопасности».
Хотя, по мнению эксперта, проблема все еще не решена: выполнение всех требований регулятора по защищенности данных не гарантирует, что минимизируется риск утечки. «К сожалению, действующие стандарты, образно говоря, написаны для вычислительных машин на перфокартах, а не для распределенных вычислений и прочих современных технологий», — отмечает Дмитриев.
И хотя, по мнению участников дискуссии, позитивный тренд на «осовременивание» регуляторики есть, диалог государства с бизнесом выстроен не совсем корректно. В частности, акцент делается на промышленные предприятия, чья работа не связана с обработкой большого количества персональных данных. А ландшафты рисков таких организаций и компаний, чьи прибыли напрямую зависят от объемов собранных персданных, находятся в разных плоскостях.
И это далеко не все проблемы. «У нас есть и еще один перекос: акцент регулятором всегда делается на внешних нарушителях, хакерах. А ведь максимальный урон происходит по вине внутренних пользователей, инсайдеров — защита от их действий даже более актуальна. И речь не про злоумышленников, а просто про неаккуратных людей — они вполне могут оставить где-то флешку, потерять ноутбук с рабочей информацией, вынести распечатки с персональными данными или не уничтожить черновики кредитных заявок», — поясняет начальник отдела информационных технологий ООО «Газинформсервис» Сергей Коловангин. По мнению эксперта, надо прежде всего защищаться от внутренних нарушителей, т.к. к внешним и без того много внимания — это относится в том числе и к организациям, у которых бизнес построен на сборе данных с клиентов — маркетплейсам, сервисам доставки и т.д.
Особое мнение
Сдерживающим фактором являются незначительные для большинства бизнесов штрафные санкции за утечки. «Для небольших компаний, у которых минимальное количество записей персональных данных, вкладывать миллионные средства в их защиту достаточно проблематично. Особенно с учетом того, что защищаться тяжелее, чем атаковать, ведь надо предусмотреть защиту гораздо большего количества направлений, чем при поиске уязвимостей. Для крупных компаний этот вопрос более серьезный, но и тут не все готовы тратить на это направление миллионы рублей», — уточняет советник президента по развитию IT-сервисов Союза «Миграционный альянс» Борис Рябоволик. По его словам, среди отельеров, к примеру, только менеджеры крупных международных сетей тратятся на выполнение требований регулятора относительно защиты персональных данных.
Отсюда и потребность в ужесточении санкций — сейчас уже обсуждаются «оборотные» штрафы. Предполагается, что штраф за утечку будет зависеть от оборота компании, ее допустившей. Предварительный размер штрафа составляет 3-5% от оборота.
Однако сам бизнес, разумеется, не ценит такую «заботу» регулятора. «Оборотные штрафы будут безумно болезненны, особенно для низкомаржинального бизнеса, где норма прибыли — 1-1,5%. В этом случае 3% штрафа от оборота — это колоссальный убыток, следствием которого, вероятно, будет закрытие бизнеса. Особенно трагично это видится с учетом того, что ты можешь быть не виноват в утечке», — говорит основатель сервиса по доставке продуктов iGooods Григорий Кунис. Он считает, что наказывать можно за халатность, пренебрежение защитой, но если сделано все необходимое, а компанию все равно взламывают, то нельзя применять такие санкции.
Некоторые участники дискуссии выразили мнение, что штрафные санкции в принципе не нужны: рынок сам решит судьбу предприятий-нарушителей, так как пользователи от них уйдут. Такая теория имеет под собой основания, если бы не одно «но»: банки, крупные онлайн-сервисы доставки и маркетплейсы, откуда за последнее время произошли утечки, до сих пор работают, клиенты от них не отвернулись.
По мнению экспертов, может быть корреляция с конкурентной ситуацией на рынке. Если выбора у клиентов почти нет, они продолжат пользоваться сервисом. Если же рынок высококонкурентен, последствия могут быть серьезными. «Одна из крупных утечек прошлого года произошла в компании, оперирующей медицинской информацией: она потеряла сотни миллионов записей с данными о клиентах и их заказах. Штраф был всего 60 тыс. руб. Но на этом дело не кончилось: по итогам года компания показала заметно более существенное падение выручки по сравнению с конкурентами, а значит, клиенты проголосовали рублем — бизнес-причин для этого не было. И это понятно: если в открытом доступе появятся адреса, куда люди заказывали пиццу и суши, случатся семейные скандалы. У утечек мединформации последствия гораздо более критичные, и все это знают», — рассуждает генеральный директор «Комфортел» Дмитрий Петров. По мнению эксперта, подобные утечки могут быть использованы в том числе для повышении реалистичности работы мошенников, использующих методы социальной инженерии для выманивания денег.
Что делать
Относительно того, как исправить ситуацию, мнения участников дискуссии разошлись. Григорий Кунис считает, что надо оставить решение за рынком, а не за регулятором.
Сергей Коловангин напоминает, что мы пока следуем тем путем, который уже прошла Европа, фактически копируя и адаптирую принятые там меры — и это нормально: «Тут главное — не останавливаться и двигаться к светлому будущему. Если этот тренд сохранится и будет вестись диалог с бизнесом — процесс постепенно будет совершенствоваться».
Дмитрий Петров поддерживает «оборотные» штрафы: «Как крайняя мера оборотные штрафы нужны, потому что они позволят достучаться до собственников и топ-менеджмента обработчиков персданных. Но как представитель бизнеса я хотел бы посмотреть на правоприменение. На мой взгляд, подход должен быть дифференцированным: мера ответственности должна коррелировать с масштабом угроз, доказуемостью и добросовестностью».
Евгений Павленко заметил, что персональные данные не единственный вид информации, который требуется защищать, по мнению регулятора — есть еще гостайна: «И если мы посмотрим на требования к защите гостайны, то там система выстроена адекватно, прозрачно и не вызывает вопросов с точки зрения реализации, правоприменения и ответственности в случае нарушений. Мне кажется, можно было бы использовать этот опыт, раз он достаточно позитивный, и для персональных данных».
Поддерживает такую возможность и Иван Дмитриев: «В случае с гостайной правоприменительная практика и юридическая «обвязка» режима формировалась межведомственной комиссией — там задействован не один регулятор, а все ключевые ведомства. Может быть, такой диалог и в случае с персданными помог бы. Но сейчас этого нет. Более того, нет никаких штрафов, если предприятие не выстраивает политики ИБ, не повышает грамотность сотрудников — эту ситуацию надо менять».