В последней декаде сентября в Москве прошел саммит по информационной безопасности BIS Summit-2023. Традиционно высокий интерес к мероприятию объясняется тем, что на этой площадке не только поднимаются актуальные темы в сфере ИБ, демонстрируются соответствующие решения, но и сталкиваются полярные точки зрения по вопросам, требующим решения. Как показали выступления представителей органов власти, разработчиков и бизнеса, наиболее дискуссионными на BIS Summit-2023 стали темы утечки данных, законодательного регулирования индустрии и ответственности операторов персональных данных.
Индустрия защиты данных от утечек появилась в нашей стране два десятилетия назад. Вызовы, с которыми сталкиваются представители различных отраслей в сфере информационной безопасности, продолжают нарастать. На фоне обострения киберугроз профильные специалисты не перестают обсуждать причины, последствия и методы стабилизации ситуации, вызванной резким повышением количества утечек данных.
В форуме участвовали многие члены ассоциации BISA – сообщества, объединяющего тысячи специалистов и аналитиков, в том числе представителей регулирующих органов и руководителей департаментов информационной безопасности, ИТ-подразделений, смежных служб.
Наряду с тематическими секциями деловая программа форума включала в себя две пленарные дискуссии, посвященные правовым и методологическим аспектам защиты от утечек данных. В первой свои точки зрения аргументировали регуляторы, во второй – представители бизнеса.
Открывая форум, президент ГК InfoWatch, председатель правления АРПП «Отечественный софт» Наталья Касперская, а по совместительству и модератор первого пленарного заседания, привела данные аналитического центра InfoWatch. На основе информации, собранной к середине текущего года, эксперты отмечают, что количество утечек в мире продолжает расти лавинообразно (в 2,4 раза), при этом меняется их характер.
«Раньше мы всегда говорили, что в основном воруют персональные данные. В России так и остается: почти 74% всех известных утечек приходится на персональные данные. А в мире резко выросло количество утечек иных видов данных, например таких, как коммерческая тайна, ноу-хау и др.», – отметила эксперт. При этом она предположила, что в России утечки, касающиеся государственной, иных видов тайны не становятся известными, о них не сообщается, поскольку нет требования законодательства публиковать информацию о таких случаях.
Между тем в нашей стране по результатам первой половины 2023 г. зафиксировано снижение количества утечек – на 17,5%. Наталья Касперская призналась, что затрудняется с трактовкой этого факта: «То ли все уже украли, и больше красть нечего, то ли мы как-то начали бороться с инцидентами».
Если многое похищено, то есть ли смысл бороться с утечками, возможно, стоит закрыть глаза на проблему – с провокационным вопросом модератор обратилась к представителям регуляторов.
Потенциал для утечек есть, поэтому не защищать данные нельзя, подчеркнул заместитель руководителя «Роскомнадзора» Милош Вагнер. Каждая дополнительная информация, оказавшаяся в руках злоумышленников, обогащает имеющуюся базу знаний. В частности, сведения о персональных данных, номере телефона можно дополнить метаданными, информацией о мобильном операторе, услугами которого абонент пользуется, и т. д. По словам чиновника, каждая новая утечка сама по себе представляет ценность, поскольку дополняет цифровой «серый» профиль человека, служащий питательной основой для действий мошенников. На основе анализа и сопоставления небиометрических данных можно повысить качество биометрических шаблонов и степени их идентификации. Поэтому нужно принимать меры для предотвращения утечек.
По мнению заместителя министра цифрового развития, связи и массовых коммуникаций РФ Александра Шойтова, при анализе количества утечек следует учитывать не только типичное мошенничество ради обогащения незаконным образом, но и политический аспект – сообщать об утечках для дестабилизации обстановки в стране. «Мы сталкиваемся с тем, что новой утечки на самом деле не происходит, но из-за утечки, зафиксированной ранее, в СМИ создается повод, который не подтверждается. Одни и те же утечки преподносятся под разными «соусами», насыщаются данными, которые не утекли. Это не значит, что утечек нет вообще. Просто к этому надо критически относиться», – рекомендовал представитель Минцифры.
На растущее число утечек, зафиксированное в прошлом году, повлиял период пандемии, когда все большее количество людей стали пользоваться всевозможными информационными сервисами – такую версию выдвинул директор АНО «Центр компетенций по импортозамещению в сфере информационно-коммуникационных технологий» Илья Массух. По мере увеличения количества обрабатываемых данных будет расти и число утечек. Российское общество активно пользуется информационными ресурсами. Скоро можно будет предъявлять паспорта из приложения. «Все это лакомый кусочек для деструктивных элементов и для определенной дискредитации. Поэтому, конечно, всем защищаться придется», – предостерег спикер.
Иной точки зрения придерживается депутат Госдумы РФ Александр Хинштейн: «Для меня очевидно, что взрывной рост утечек 2022 г. напрямую связан со специальной военной операцией и кибервойной, которая ведется сегодня в отношении России. В том числе целенаправленно осуществляются попытки взлома различных российских информационных систем хакерами, работающими в интересах наших противников. А рост утечек 2020–2021 г. обусловлен тем, что в результате пандемии резко возросло использование цифровых сервисов гражданами. Хакеры в это время не сидели на самоизоляции – напротив, у них начался «чес», поскольку возможности резко возросли». Поэтому эксперт предложил не сбрасывать со счетов военно-политический аспект в процессе анализа прироста утечек данных.
С таким мнением согласился заместитель директора ФСТЭК России Виталий Лютиков. Что касается некоторого спада числа утечек в России, то он предположил, что система безопасности адаптируется, люди более вовлечены в этот процесс, и произошло определенное насыщение. А вот обесцениванием эффекта утечек, по его мнению, занимаются в первую очередь операторы персональных данных, которые не видят для себя рисков: штрафы маленькие, в суд, как правило, никто не обращается. «Но для меня, как и для каждого конкретного человека, для моих родных, риски существенны. Из-за того, что утекли базы с данными паспортов злоумышленники смогли воспользоваться этой информацией и убедить близкого человека в том, чтобы он перевел деньги. Убеждение было построено на знании многих сведений о человеке», – поделился эксперт.
Бороться с обесцениваем предлагается прежде всего путем повышения ответственности. В частности, следует ввести оборотные штрафы, проводить разбирательства фактов утечек, учиться подтверждать, что они действительно произошли. «Самое главное – надо выделить персональные данные, которые действительно наносят ущерб личности. Иначе при современном состоянии и развитии технологий, цифровых сервисов мы не сможем все защитить. Сосредоточить усилия по безопасности нужно на том, что причиняет существенный ущерб для субъекта», – подчеркнул Виталий Лютиков.
Тему ответственности продолжил Александр Хинштейн, рассказав о подготовке поправок в Кодекс об административных правонарушениях, предусматривающих ужесточение наказания для операторов персональных данных за утечки.
Действующие смехотворные штрафы за утечку (до 100 тыс. руб.) не способствуют активизации работы по обеспечению информационной безопасности, не говоря о том, что и механизм проверок крайне затруднен – мораторий на проверки по утечкам персональных данных был снят не полностью, напомнил депутат.
Законодатели предлагают установить повышенную ответственность, которая будет варьироваться в зависимости от содеянного ущерба и повторности инцидентов. В качестве критериев наказания рассматривается количество персональных данных или записей. За утечку от 1 тыс. до 10 тыс. записей субъектов персональных данных для юридических лиц предусматривается штраф в размере от 3 млн до 5 млн руб. За утечку от 10 тыс. до 100 тыс. записей персональных данных – сумма штрафа варьируется в пределах 5–10 млн руб. Если компания допустила утечку более 100 тыс. записей, диапазон штрафов составит 10–15 млн руб.
Для случаев повторных нарушений возможно введение оборотных штрафов (минимум 0,1% выручки за предыдущий год, максимум – 3%, но не менее 15 млн и не более 500 млн руб.). Не исключено также установление уголовной ответственности, но предварительно будет проведено максимально открытое обсуждение инициативы. Вопрос общественно значимый, затрагивающий интересы большого количества людей. По словам парламентария, в подобных ситуациях речь идет о каждом из граждан, «поскольку все мы являемся потенциальными жертвами утечек».
Законодатели планируют также утвердить механизм смягчающих, но не реабилитирующих обстоятельств. Представитель Госдумы подчеркнул, что необходимо простимулировать вложения в обеспечение информационной безопасности, и на это направлена политика государства в данной сфере. В рамках осенней сессии, как ожидается, будет рассмотрен пакет соответствующих законодательных актов.
В ходе пленарного заседания обсуждалась целесообразность введения института профессиональных операторов персональных данных. Весьма актуальный вопрос в масштабах нашей страны, где миллионы операторов персональных данных – от любого работодателя, включая индивидуальных предпринимателей, до организаций, которые собирают сведения от тех или иных лиц.
На дополнительных аспектах темы акцентировали внимание представители бизнеса, принявшие участие во второй панельной дискуссии BIS Summit-2023. В частности, они задались вопросом, кто должен фиксировать произошедшую утечку – компетентный орган или оператор персональных данных.
Любая система уязвима (особенно при наличии достаточных финансовых и временных ресурсов). «Цифра» утекает значительно легче, чем «бумага». При этом уязвимость следует рассматривать как величину, которая поддается измерению. В то же время невозможно на 100% защититься от потери данных, как и от инсайдеров. Обеспечить защиту удается от конечного перечня угроз в этой сфере.
Участники сессии признали, что операторы нередко не соблюдают элементарные требования законодательства. Некоторые обрабатывают огромные массивы данных, часть из них хранится «на всякий случай» и в принципе не нужна. Одновременно компании обязаны защищать не только персональные данные, но и коммерческие секреты, элементы интеллектуальной собственность и т. п. При этом накладываются задачи, которыми приходится заниматься в рамках замещения импортных решений.
Понятно стремление государства предложить законодательные механизмы, которые помогут избежать злоупотреблений в сфере ИБ. Однако при введении такой меры, как оборотные штрафы, следует позаботиться об инструментах, которые позволят оценить, насколько адекватными были усилия и затраты организации или компании по обеспечению защиты, выбору соответствующего ПО, подготовке специалистов и сотрудников, которые им пользуются.
Заинтересованные стороны понимают, что гарантировать отсутствие утечек не удастся несмотря на то, что технологическая база за последнее время значительно расширилась благодаря внедрению отечественных решений. Поэтому едва ли разумно проектировать новые законодательные конструкции, не учитывая степени виновности предприятия, компании, организации.
Представители бизнеса осознали, насколько большой ущерб связан с последствиями утечки персональных данных или конфиденциальной информации. Обмен мнениями представителей регуляторов, бизнеса, экспертов на дискуссионной площадке BIS Summit-2023 позволяет надеяться, что поиск взвешенных решений, особенно связанных с мерами ответственности, будет вестись в правильном направлении.
