Все записи
12:57  /  18.10.19

156просмотров

В мире больше нет беспечного отношения к данным, а у нас есть

+T -
Поделиться:

2019 год может войти в историю цифровизации как год утечек информации. А о том, как защитить данные от мошенников говорят даже в ТВ-программах для пенсионеров. На этом фоне государство создает новые суперсервисы, объединяющие базы данных обо всех нас, хотя за утечки персданных пока никто толком не отвечает. Рискуя получить оборотный штраф от регулятора и коллективный иск от пострадавших ни государственные, ни частные компании Европы и США такого беспечного отношения позволить себе больше не могут.

Еще пару лет назад мы, ИБ-эксперты, играли роль профессиональных устрашителей, буквально «на пальцах» объясняли, насколько велик разрыв между скоростью цифровизации и скоростью распространения методов защиты данных. Часто слышали в ответ, что зря пугаем.

Утечка базы Сбербанка в даркнет наделала много шума. Учитывая то, что Сбер – это прямо-таки народный банк, понятно, почему. Но не хотелось бы оттаптываться на отдельной компании за отдельный – пусть и крупный – инцидент. Настораживает их регулярность и серьезность. В августе в открытом доступе оказались данные 700 тысяч сотрудников РЖД, потом утечка случилась через государственную систему прослушки СОРМ (аппаратно-программный комплекс решений, который, по сути, был создан для нашей же защиты). В конце сентября киберэксперт сообщил, что обнаружили данные о 20 млн российских налогоплательщиков. К слову, и наша компания тоже пострадала от утечки данных из ФНС – в открытый доступ выложили данные сотрудников.

Все это в целом вызывает вопрос: а защитит ли государство данные всех россиян, создавая заявленные в программе цифровизации суперсервисы? Напомню, что из ближайших инициатив и Национальная система управления данными, частью которого станет сервис «Цифровой профиль», и Единый реестр сведений о россиянах, оператором которого будет как раз ФНС.

Справедливости ради надо отметить, что защита персональных данных – действительно, сложная задача. Это обратная сторона цифровизации, во всем мире. Данных становится слишком много и тех, кто их обрабатывает, – тоже. И все же самая критичная масса данных в самом полном объеме – у государства.

Хотя все инструменты защиты данных государству доступны: средства полного сканирования на предмет неправомерного хранения данных (класс решений eDiscovery); системы мониторинга передачи информации по всем сетевым каналам и на внешние устройства хранения (DLP); системы контроля активности сотрудников; наконец, инструменты цифровых расследований.

Далеко не во всех государственных и частно-государственных организациях программы установлены. И даже если стоят – не везде работают. Потому что нет указаний (никакой закон этого не описывает), нет ни строгого наказания на случай утечки, ни практики его применения.

Наш закон о защите персданных к большей заботе о них не мотивирует. Он настолько беззубый, что пугает разве что младенцев. Но даже в таком виде его не применяют к государственным организациям. В их утечках Роскомнадзор просто не видит «состава нарушения». До сих пор за утечки данных точечно отвечали то районные больницы, где нерадивый завхоз отправил в макулатуру медкарты; то вороватый участковый, сливающий ритуальщикам данные о смертях. Иногда наказывали заведующих детсадами и директоров школ.

В мире такого равнодушного отношения к данным себе позволить не могут. Упомянутый выше европейский регламент GDPR с гигантскими оборотными штрафами держит в тонусе и частные компании, и государственные. Но GDPR – это только один из примеров. Такое же жесткое регулирование в Китае, США, Японии, Австралии, Аргентине, Канаде.

Отмечу также, что и сами пользователи за рубежом относятся к своим персданным не в пример серьезнее, чем россияне. Самая большая гроза нарушителей – это даже не регуляторы, а простые люди с их гражданскими исками, которые в сумме складываются в миллионы долларов. В этом году Yahoo согласилась выплатить почти 118 млн долларов в качестве компенсации за урегулирование коллективного иска из-за утечек данных. В России пока ведут только теоретические разговоры на этот счет, хотя с 1 октября появилась возможность подавать коллективные иски.

Но небольшие подвижки все же есть. Появляется реакция. И ФНС, и Сбербанк хоть и не признали серьезность утечек, среагировали быстро. Банк провел расследования и наказал виновного. Второе – об утечках информации заговорили на высоком уровне. Когда в конце мая вице-спикер Госдумы Петр Толстой поднял вопрос сохранности персональных данных, я искренне порадовался. На моей памяти это первое обсуждение проблемы власть имущими. (Хотя причина на деле прозаична: в рамках последней громкой утечки были потеряны данные не только рядовых россиян, но и известных высокопоставленных людей). Что называется, не было бы счастья, да несчастье помогло!

Таким образом, подвижки идут сразу по трем направлениям: растет обеспокоенность в обществе, организации испытывают это давление, законодатели приходят к выводу, что процесс защиты данных нуждается в доработке. Хочется надеяться, что действия последних выльются в комплексную проработку законов, а не кампанейщину. Иначе защиты данных у нас в стране как не было, так и не будет.