Дом для цифровой личности
Большим пользовательским данным нужно внимание государства.
IT-технологии нарушают приватность личной жизни. Сведения о человеке, тайно и явно, собирают многочисленные подключенные устройства и интернет-сервисы. Эта информация получила название «большие пользовательские данные». Они создают «цифровую личность», которую можно безошибочно соотнести с конкретным человеком. Для защиты таких данных нужны новые подходы в регулировании, уверен руководитель Роскомнадзора Александр Жаров.
Под крышей цифрового дома
8 ноября в Москве на VII Международной конференции «Защита персональных данных»руководитель Роскомнадзора (РКН) Александр Жаров представил новую платформу для взаимодействия бизнеса, государства и общества –«Цифровой дом». Концепцию проекта он предложил на секции по кибербезопасности в рамках Петербургского международного экономического форума в июне текущего года.
Образ «дома», по словам А. Жарова, выбран не случайно: «Это пространство жизни, где мы чувствуем себя защищенно и комфортно. Мы надеемся общими усилиями бизнеса, общества и государства спроектировать «Цифровой дом»как безопасную и комфортную цифровую среду для пользователей». Глава РКН добавил, что к участию приглашены компании, общественные и государственные организации, которые реализуют собственные проекты по интернет-безопасности.
Людей беспокоят угрозы приватности в цифровой среде, особенно при сборе, обработке и хранении больших массивов персональных данных. Политика IT-гигантов по обеспечению защиты личной информации размыта, не хватает единых и прозрачных правил игры, соблюдение которых могло бы обеспечить государство,пояснил А. Жаров.
По замыслу РКН, «Цифровой дом» поможет:
- совершенствовать и гармонизировать законодательство;
- унифицировать подходы к обработке данных в цифровом пространстве с учетом международного опыта;
- внедрить принципы саморегулирования,сформированные при участии бизнеса,государства и общества;
- сформировать модели безопасного поведения участников информационных процессов.
Платформа предоставит доступ к лучшим отраслевым практикам в области защиты персональных данных и к созданию перспективных подходов к регулированию сферы цифровой безопасности, подчеркнул А. Жаров.
Ведомство готово оказать организационную и методическую помощь участникам проекта,обеспечит сопровождение инициатив,направленных на развитие идей безопасного интернет-пространства.
Национальное достояние
Подгруппа «Интернет + Общество» при администрации президента РФ исследует тему больших пользовательских данных (БПД). Руководит работой глава ГК Infowatch Наталья Касперская. До конца года эксперты должны подготовить проект дорожной карты по регулированию БПД, сообщил помощник российского президента Игорь Щёголев, который курирует исполнение поручений главы государства в сфере развития интернета.
«В зависимости от глубины и проработки предложений и масштаба предлагаемых изменений мы определим сроки работы с законодателями», –добавил он.
БПД принадлежат нации, они требуют защиты на государственном уровне. Такое мнение высказал управляющий партнер компании«Ашманов и партнеры» Игорь Ашманов. Большие пользовательские данные – новая реальность,которую в отличие от сферы персональной информации не затрагивает регулирование.По словам И. Ашманова, БПД – это «данные,собираемые в Сети сервисами, устройствами и приложениями о поведении человека,понимаемые как пользовательские профили».
В условиях правового вакуума появился рынок БПД, где информация покупается и продается, происходит массовая утечка данных за рубеж.
Сведения о человеке собирают поисковики и социальные сети, почтовые сервисы и мессенджеры, платежные системы и «умные»устройства.
Это обезличенная информация, но с помощью набора данных из разных источников можно безошибочно идентифицировать человека.
По мнению И. Ашманова, нужно формировать нормативную базу для БПД, работать над отраслевой саморегуляцией и созданием этических кодексов, а также информировать пользователей о последствиях разглашения личных сведений.
Кража виртуального «я»
Проникновение IT-технологий в жизнь людей становится всеобъемлющим, и приватности личной жизни добиться сложно, отметил в своем выступлении А. Жаров. Часто пользователи соглашаются на сбор и передачу своих данных, не оценивая сопутствующие риски и угрозы, а иногда информацию обрабатывают без ведома граждан.
«В цифровой среде персонифицированные данные «вырастают». Они аккумулируются с другими сведениями, анализируются и преобразовываются. Возникает «цифровая личность», которую можно безошибочно соотнести с конкретным человеком, – констатировал А. Жаров. – Похищение персональных данных скоро превратится в кражу личности».
Руководитель РКН уверен, что для защиты БПД необходимо принять новый нормативный документ, а не изменять существующий [1]. Он также считает необходимым появление государственного оператора больших пользовательских данных.
Н. Касперская тоже полагает, что регулирование БПД требует разработки отдельного закона. «Есть мнение, что необходимо все сведения,которые собираются о пользователях, приравнять к персональным данным. Но это упрощенный подход, который приводит к тому, что закон станет практически неисполним», – сказала эксперт.
Н. Касперская предлагает ввести пользовательское соглашение для всех операторов, которые собирают данные, и единый стандарт на хранение и сбор информации.
Ликбез по самообороне
РКН систематизировал информационно-публичную работу в сфере защиты персональных данных (ПД) и разработал стратегию соответствующей деятельности на период до 2020 года. Об этом сообщила заместитель руководителя ведомства Антонина Приезжева.
Замруководителя РКН отметила, что цель документа – обеспечить высокий уровень защиты прав граждан РФ на неприкосновенность частной жизни, личную и семейную тайну. Реализация стратегии поможет развивать систему поведенческих практик, направленных на соблюдение требований законодательства в области ПД, в том числе с помощью саморегулирования.
В документе заложено проведение тематических мероприятий: открытых уроков,тренингов, тематических конкурсов, посвященных безопасному использованию личных данных. РКН планирует консультировать субъектов ПД и операторов, осуществляющих обработку информации, по вопросам законодательства.
РКН будет заключать соглашения с факультетами права, журналистики, психологии и педагогики, информационных технологий вузов для освещения вопросов, связанных с защитой прав субъектов ПД.
Многие из запланированных мероприятий уже проводятся, сообщила А. Приезжева. Летом территориальные управления РКН провели уроки по защите персональных данных несовершеннолетних более чем в 50 детских оздоровительных лагерях. С 1 сентября обучение и тренинги проходят в школах.
В прошлом году Роскомнадзор запустил сайт персональныеданные.дети, где в игровой форме объясняется, как безопасно использовать личные данные в интернете. Еще одно направление просветительской деятельности РКН – это создание тематических роликов социальной рекламы и их трансляция на детских и молодежных ТВ-каналах и интернет-сайтах.
Помимо этого, будет сформирована аналитическая база по федеральным округам с информацией о положении дел в области ПД.
Корректировку плана мероприятий будут проводить ежегодно, после подведения итогов работы, добавила А. Приезжева.
Профессор Московского государственного университета имени М.В. Ломоносова Галина Солдатова отметила, что за три года количество детей с высоким уровнем интернет-активности увеличилось в два раза. В 2013-м треть жизни в Сети проводил каждый седьмой подросток,а в 2015–2016 годах – почти каждый третий(32%). Более 70% российских детей никогда ни к кому не обращались по вопросам, связанным с настройками приватности.
По мнению эксперта, образовательные учреждения должны формировать у школьников представления о личном пространстве,о способах попадания и распространения ПДв интернете, о последствиях неосторожного обращения с информацией личного характера.Важно прививать гражданам навыки защиты и управления персональными данными при посещении онлайн-ресурсов, работе с приложениями и устройствами.
Список угроз
Федеральная служба по техническому и экспортному контролю России (ФСТЭК) запустила Банк данных угроз безопасности информации. Список содержит 180 пунктов и постоянно пополняется, рассказала начальник отдела 2-го управления ФСТЭК Елена Торбенко. По ее словам, зачастую компании–операторы персональных данных не очень внимательно относятся к облику своих информационных систем, не понимают, какие данные им надо защищать и от чего, и не всегда владеют набором необходимых технологий.В помощь им в Банке данных описаны существующие угрозы, настроены контекстные фильтры, которые найдут актуальные уязвимости.
Е. Торбенко напомнила, что, согласно приказу ФСТЭК России от 18.02.2013 № 21, оператор персональных данных должен защитить свою информсистему самостоятельно в соответствии с требованиями законодательства или отдать эту деятельность на аутсорсинг лицензированным компаниям.
Приказ ФСБ России от 10.07.2014№ 378 определяет конкретные требования к информационной системе, в которой установлено криптографическое средство защиты информации (СКЗИ).
Если персональные данные хранятся и обрабатываются в информационных системах,нужно определить уровень их технической защищенности. Рекомендации по составлению соответствующих документов даны на сайте Федеральной службы безопасности (ФСБ).Сотрудник ведомства Александр Бодров назвал распространенные ошибки, которые выявляются в ходе проверок. Среди них – отсутствие перечня возможных уязвимостей, а также незнание предназначения технических устройств (в случае если информационной безопасностью занималась сторонняя компания).
В целом же в ФСБ отмечают, что ситуация с защитой данных улучшается, повторные проверки, как правило, фиксируют отсутствие выявленных ранее нарушений.
Уязвимое место
В борьбе с мошенничеством в финансовой сфере большое значение имеет защита ПД клиентов банков, подчеркнул заместитель начальника Главного управления безопасности и защиты информации Банка России Артем Сычев. По словам эксперта, в приложениях для интернет-банкинга содержатся уязвимости. Для повышения уровня информационной безопасности (ИБ) кредитных организаций важно заниматься разработкой и вводом в действие национальных стандартов и принимать меры по их обязательному применению. Такая работа ведется Техническим комитетом № 122 при Центробанке (ЦБ). Также для уменьшения рисков необходимо повышать финансовую грамотность пользователей электронных банковских технологий.
С января 2016 года по настоящее время ЦБ зафиксировал попытки хищения денежных средств на сумму 5 млрд рублей. Перевод 2,7 млрд из них не удалось отменить, констатировал А. Сычев.
Центробанк работает над законопроектом,который поможет предотвращать кражи денежных средств со счетов. Документ проходит согласование, после чего будет внесен в Государственную Думу.
VII Международная конференция «Защита персональных данных» прошла 8 ноября 2016 года в Москве,в отеле «Ренессанс Москва Монарх Центр». Организатор – АНО «Радиочастотный спектр» при поддержке Роскомнадзора.
Кодекс добросовестных практик в сети Интернет
На конференции «Защита персональных данных» 24 организации и коммерческие компании подписали Кодекс добросовестных практик (Кодекс этической деятельности (работы) в сети Интернет). Документ разработан в рамках проекта «Цифровой дом».
Кодекс – это свод правил и принципов для компаний и организаций, которые работают в интернет-среде. Цель документа – защитить государство, общество и гражданина от угроз, связанных с развитием инфокоммуникационных технологий, и создать максимально безопасное цифровое пространство.
Кодекс открыт для любой заинтересованной стороны.
Подписавшие Кодекс организации заявляют о своей готовности содействовать в обеспечении безопасного информационного пространства в сети Интернет на основе соблюдения требований законодательства Российской Федерации, положений международных договоров РФ, рекомендаций уполномоченных органов государственной власти. Также они намерены способствовать созданию,развитию и внедрению мероприятий по формированию культуры безопасного поведения в Сети.
[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»