#1 Digital Awards Forum, 6 июня 2023
Инструменты , Санкт-Петербург и область ,  
0 

Битва за персональные данные

Фото: ru.freepik.com
Фото: ru.freepik.com
Утечки персональных данных могут стать трагедией и для граждан, и для бизнеса. Как с ними бороться — обсудили эксперты первого Digital Awards Forum РБК Петербург

По оценкам Роскомнадзора, в 2022 году было зафиксировано более 140 случаев утечек персональных данных, а к апрелю 2023 года речь шла уже более чем о 40 крупных утечках. Участники дискуссии, состоявшейся в рамках первого Digital Awards Forum РБК Петербург, уверены: бороться с утечками нужно, вопрос только в том, как именно это делать и нужно ли при этом усиливать госконтроль этой сферы. Относительно последнего мнения эксперты разошлись. С одной стороны, без штрафов бизнес склонен принимать риски, ничего не меняя. С другой стороны, усиление штрафных санкций за утечки может привести к смерти отдельных компаний.

Кадры, деньги, два столпа

Проблема утечек персональных данных относится к числу весьма значимых, причем как для бизнеса, так и для отдельных людей. В рамках встречи один из экспертов рассказал о собственном опыте обнаружения утечки своих данных. Ее последствием стал просроченный микрокредит, испорченная кредитная история и большое количество потерянного времени на попытки восстановить справедливость, которые уже на протяжении года так и не увенчались успехом. Подчеркнем, речь идет о профессиональном айтишнике, хорошо разбирающемся в инфобезопасности и правилах хранения персональных данных — но навыки и квалификация в этом случае оказались бессильны. Это свидетельствует лишь об одном: утечки могут навредить любому.

Между тем эксперты подтверждают: бизнес в последнее время стал уделять гораздо больше внимания защите персональных данных. Среди трендов последнего времени участники дискуссии выделили рост престижа и влиятельности специалистов по информационной безопасности (ИБ) и инвестиций в защиту — это два столпа, которые смогут способствовать дальнейшему развитию сферы. Ведь были случаи, когда директору по ИБ приходилось «отрезать» предприятие с цифровым бизнесом от интернета, чтобы локализовать инцидент.

Как рассказал доцент Института кибербезопасности и защиты информации Санкт-Петербургского политехнического университета Петра Великого Евгений Павленко, 5 лет назад в рамках проекта по анализу практической защищенности одна из корпораций проверила три своих завода. А в начале года в проект были добавлены и остальные предприятия корпорации. «Это свидетельствует о том, что, если 5 лет назад менеджмент предприятий считал киберинциденты чем-то далеким и их не касающимся, то в последнее время отношение изменилось. Раз выросло количество атак, то усилилось и вливание дополнительных денежных средств в защиту от них. Также растет и потребность в кадрах. Если 10 лет назад набор на ИБ-кафедру был 30 человек, то сейчас — 200, и один из самых больших конкурсов по университету. При необходимости мы могли бы набрать 1000 студентов», — рассказал Павленко.

Евгений Павленко, Институт кибербезопасности и защиты информации Санкт-Петербургского политехнического университета Петра Великого
Евгений Павленко, Институт кибербезопасности и защиты информации Санкт-Петербургского политехнического университета Петра Великого (Фото: Валентин Беликов/РБК Петербург)

Практическая кибербезопасность

Однако именно с практической безопасностью у отечественных компаний до сих пор есть проблемы, убеждены эксперты. И частично ответственность за это лежит на регуляторе. «Раньше при формировании стратегии кибербезопасности любого бизнеса специалисты разделяли регуляторную защищенность компании и практическую безопасность, и все, что касалось защищенности персональных данных, уходило в комплаенс, мероприятия, которые надо выполнить, чтобы пришедший с проверкой Роскомнадзор не оштрафовал, — объясняет директор по безопасности «СберКорус» Иван Дмитриев. — Сейчас действительно и регуляторы, и бизнес потихоньку разворачиваются лицом в сторону практической кибербезопасности».

Иван Дмитриев, «СберКорус»
Иван Дмитриев, «СберКорус» (Фото: Валентин Беликов/РБК Петербург)

Хотя, по мнению эксперта, проблема все еще не решена: выполнение всех требований регулятора по защищенности данных не гарантирует, что минимизируется риск утечки. «К сожалению, действующие стандарты, образно говоря, написаны для вычислительных машин на перфокартах, а не для распределенных вычислений и прочих современных технологий», — отмечает Дмитриев.

И хотя, по мнению участников дискуссии, позитивный тренд на «осовременивание» регуляторики есть, диалог государства с бизнесом выстроен не совсем корректно. В частности, акцент делается на промышленные предприятия, чья работа не связана с обработкой большого количества персональных данных. А ландшафты рисков таких организаций и компаний, чьи прибыли напрямую зависят от объемов собранных персданных, находятся в разных плоскостях.

И это далеко не все проблемы. «У нас есть и еще один перекос: акцент регулятором всегда делается на внешних нарушителях, хакерах. А ведь максимальный урон происходит по вине внутренних пользователей, инсайдеров — защита от их действий даже более актуальна. И речь не про злоумышленников, а просто про неаккуратных людей — они вполне могут оставить где-то флешку, потерять ноутбук с рабочей информацией, вынести распечатки с персональными данными или не уничтожить черновики кредитных заявок», — поясняет начальник отдела информационных технологий ООО «Газинформсервис» Сергей Коловангин. По мнению эксперта, надо прежде всего защищаться от внутренних нарушителей, т.к. к внешним и без того много внимания — это относится в том числе и к организациям, у которых бизнес построен на сборе данных с клиентов — маркетплейсам, сервисам доставки и т.д.

Сергей Коловангин, ООО «Газинформсервис»
Сергей Коловангин, ООО «Газинформсервис» (Фото: Валентин Беликов/РБК Петербург)

Особое мнение

Сдерживающим фактором являются незначительные для большинства бизнесов штрафные санкции за утечки. «Для небольших компаний, у которых минимальное количество записей персональных данных, вкладывать миллионные средства в их защиту достаточно проблематично. Особенно с учетом того, что защищаться тяжелее, чем атаковать, ведь надо предусмотреть защиту гораздо большего количества направлений, чем при поиске уязвимостей. Для крупных компаний этот вопрос более серьезный, но и тут не все готовы тратить на это направление миллионы рублей», — уточняет советник президента по развитию IT-сервисов Союза «Миграционный альянс» Борис Рябоволик. По его словам, среди отельеров, к примеру, только менеджеры крупных международных сетей тратятся на выполнение требований регулятора относительно защиты персональных данных.

Борис Рябоволик, Союз «Миграционный альянс»
Борис Рябоволик, Союз «Миграционный альянс» (Фото: Валентин Беликов/РБК Петербург)

Отсюда и потребность в ужесточении санкций — сейчас уже обсуждаются «оборотные» штрафы. Предполагается, что штраф за утечку будет зависеть от оборота компании, ее допустившей. Предварительный размер штрафа составляет 3-5% от оборота.

Однако сам бизнес, разумеется, не ценит такую «заботу» регулятора. «Оборотные штрафы будут безумно болезненны, особенно для низкомаржинального бизнеса, где норма прибыли — 1-1,5%. В этом случае 3% штрафа от оборота — это колоссальный убыток, следствием которого, вероятно, будет закрытие бизнеса. Особенно трагично это видится с учетом того, что ты можешь быть не виноват в утечке», — говорит основатель сервиса по доставке продуктов iGooods Григорий Кунис. Он считает, что наказывать можно за халатность, пренебрежение защитой, но если сделано все необходимое, а компанию все равно взламывают, то нельзя применять такие санкции.

Григорий Кунис, iGooods
Григорий Кунис, iGooods (Фото: Валентин Беликов/РБК Петербург)

Некоторые участники дискуссии выразили мнение, что штрафные санкции в принципе не нужны: рынок сам решит судьбу предприятий-нарушителей, так как пользователи от них уйдут. Такая теория имеет под собой основания, если бы не одно «но»: банки, крупные онлайн-сервисы доставки и маркетплейсы, откуда за последнее время произошли утечки, до сих пор работают, клиенты от них не отвернулись.

По мнению экспертов, может быть корреляция с конкурентной ситуацией на рынке. Если выбора у клиентов почти нет, они продолжат пользоваться сервисом. Если же рынок высококонкурентен, последствия могут быть серьезными. «Одна из крупных утечек прошлого года произошла в компании, оперирующей медицинской информацией: она потеряла сотни миллионов записей с данными о клиентах и их заказах. Штраф был всего 60 тыс. руб. Но на этом дело не кончилось: по итогам года компания показала заметно более существенное падение выручки по сравнению с конкурентами, а значит, клиенты проголосовали рублем — бизнес-причин для этого не было. И это понятно: если в открытом доступе появятся адреса, куда люди заказывали пиццу и суши, случатся семейные скандалы. У утечек мединформации последствия гораздо более критичные, и все это знают», — рассуждает генеральный директор «Комфортел» Дмитрий Петров. По мнению эксперта, подобные утечки могут быть использованы в том числе для повышении реалистичности работы мошенников, использующих методы социальной инженерии для выманивания денег.

Дмитрий Петров, «Комфортел»
Дмитрий Петров, «Комфортел» (Фото: Валентин Беликов/РБК Петербург)

Что делать

Относительно того, как исправить ситуацию, мнения участников дискуссии разошлись. Григорий Кунис считает, что надо оставить решение за рынком, а не за регулятором.

Сергей Коловангин напоминает, что мы пока следуем тем путем, который уже прошла Европа, фактически копируя и адаптирую принятые там меры — и это нормально: «Тут главное — не останавливаться и двигаться к светлому будущему. Если этот тренд сохранится и будет вестись диалог с бизнесом — процесс постепенно будет совершенствоваться».

Дмитрий Петров поддерживает «оборотные» штрафы: «Как крайняя мера оборотные штрафы нужны, потому что они позволят достучаться до собственников и топ-менеджмента обработчиков персданных. Но как представитель бизнеса я хотел бы посмотреть на правоприменение. На мой взгляд, подход должен быть дифференцированным: мера ответственности должна коррелировать с масштабом угроз, доказуемостью и добросовестностью».

Евгений Павленко заметил, что персональные данные не единственный вид информации, который требуется защищать, по мнению регулятора — есть еще гостайна: «И если мы посмотрим на требования к защите гостайны, то там система выстроена адекватно, прозрачно и не вызывает вопросов с точки зрения реализации, правоприменения и ответственности в случае нарушений. Мне кажется, можно было бы использовать этот опыт, раз он достаточно позитивный, и для персональных данных».

Поддерживает такую возможность и Иван Дмитриев: «В случае с гостайной правоприменительная практика и юридическая «обвязка» режима формировалась межведомственной комиссией — там задействован не один регулятор, а все ключевые ведомства. Может быть, такой диалог и в случае с персданными помог бы. Но сейчас этого нет. Более того, нет никаких штрафов, если предприятие не выстраивает политики ИБ, не повышает грамотность сотрудников — эту ситуацию надо менять».

Компетенция «HR невозможно оцифровать полностью: во главе угла всегда будет человек»
Содержание
Закрыть