За утечку ответишь

Почему невнимание к защите персональных данных должно грозить огромными штрафами

В последние месяцы участились случаи раскрытия в Сети информации о пользователях различных сервисов. На этом фоне власти взяли курс на ужесточение ответственности и введение оборотных штрафов за подобные инциденты. Нужны ли строгие регуляторные меры и почему интерес к DLP*-системам резко вырос – в материале RSpectr.

РАЗМЕР ИМЕЕТ ЗНАЧЕНИЕ

В понедельник, 6 июня в Сеть попали данные пользователей, регистрировавшихся в базе Минстроя с 2014 года, сообщил Telegram-канал «Утечки информации». Сайт министерства был взломан накануне. Хакеры выложили файл, содержащий 116 тыс. строк с именами, адресами электронной почты, и потребовали выкуп. В свою очередь, Минстрой опроверг эту информацию, заявив: «Персональные данные нашего сайта находятся под защитой и регулярным мониторингом, угрозы им нет».

После ряда громких инцидентов власти взяли курс на ужесточение ответственности за утечку персональных данных (ПД). В скором времени они обойдутся компаниям в 1% оборотного штрафа, писал «Коммерсантъ». Если виновник попытается скрыть потерю, размер санкции увеличится до 3 процентов. На этой неделе законопроект будет внесен в Госдуму.

В начале марта в интернет попали сведения о пользователях сервиса «Яндекс.Еда». За это было взыскано всего 150 тыс. рублей, сообщил генеральный директор Zecurion Алексей Раевский на Форуме DLP+. По данным «Интерфакса», «Яндекс.Еда» и вовсе заплатила 60 тыс. рублей. Как отметил А.Раевский,

наказания за утечки болезненно воспринимаются бизнесом, но это необходимая мера

Подобный штраф для крупной организации незначителен, подчеркнул в своем выступлении на конференции член комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин.

Артем Шейкин, Совет Федерации:

– Необходимо менять парадигму и заставить бизнес заботиться о конфиденциальности личной информации. Сейчас разрабатывается законопроект по ужесточению ответственности. Уверен, что с введением новых мер таких случаев станет меньше.

Ответственность должна быть, без сомнения, однако нужно обсуждать объем компенсации, полагает исполнительный директор – начальник отдела Центра киберзащиты Сбера Василий Лесной.

Василий Лесной, Сбер:

– Честно говоря, не представляю применения оборотного штрафа размером в 1 процент к Сберу. Ладно, можно найти виновного сотрудника и повесить все на него, но сколько тысяч лет он будет расплачиваться?

Подобные санкции вряд ли смогут сделать кого-то более ответственными, уверен глава департамента специальных проектов и GR-директор HeadHunter Виталий Терентьев. По его словам, бизнес и так многое теряет в момент киберинцидента. Он уверен, что

предлагаемые штрафы огромны даже для больших компаний, а для стартапов будут просто гибельными

С ним не согласен заместитель директора Департамента обеспечения кибербезопасности Минцифры РФ Евгений Хасин. По его мнению, большинство серьезных организаций уделяют защите данных пристальное внимание.

Евгений Хасин, Минцифры РФ:

– Гиганты обрабатывают большие объемы данных, и у них должны быть соответствующие средства для защиты. Понятно, что чем моложе сервис, тем больше в нем имеется уязвимостей. Поэтому для стартапов оборотный штраф станет знаком: вы развиваете IT-инфраструктуру, поэтому позаботьтесь, пожалуйста, о сегменте безопасности.

В целом законодательные меры направлены на то, чтобы «заранее подстелить соломку», а оценка объема денежного наказания потребует серьезной экспертизы, подчеркивает он.

БРОНЯ КРЕПКА?

Киберзащита инфраструктуры компании – комплексная задача, в нее вовлечены службы безопасности, IT-отделы, вендоры – поставщики оборудования, поэтому возникает вопрос разграничения ответственности, обратили внимание участники форума.

По мнению В.Лесного, потеря сведений о клиентах ничем не отличается от любого другого киберинцидента. В Сбере сформирована специальная команда, она выявляет новые каналы утечки, не покрывающиеся DLP-системой, а также выискивает критичную информацию, которая может «плохо лежать» – находиться в открытом доступе.

При устройстве на работу будущие сотрудники «Ростеха» подписывают соглашение о неразглашении. Они в курсе, что их действия контролируются с помощью DLP-программ, рассказал руководитель направления защиты информации и противодействия иностранным техническим разведкам (ПДИТР) госкорпорации Игорь Каландадзе. По его словам,

в подразделениях «Ростеха» 90-95% ИБ-оборудования уже заменено на российские аналоги

Из-за резкого роста киберугроз спрос на DLP в последние месяцы заметно вырос, констатировала директор центра продуктов Solar Dozor в «Ростелеком-Солар» Галина Рябова. По ее словам,

DLP-решения функционируют в 90% российских коммерческих компаний, но в госорганах они остаются большой редкостью

При этом некоторые отечественные аналоги в сфере информационной безопасности превосходят зарубежные, но нужно смотреть, что находится у них «под капотом», обратил внимание В.Лесной.

Василий Лесной, Сбер:

– Все знают, что в DLP-системах ведущих [российских] вендоров используются базы данных Oracle, движки распознавания картинок Abbyy и прочие заимствования. Можно ли здесь говорить о каком-то импортозамещении? Особенно в условиях ужесточающейся санкционной политики?

В сегменте защиты от утечек отечественные производители решений достаточно уверенно себя чувствуют и предлагают надежное ПО, ничем не уступающее западному, считает А.Раевский. Более правильным подходом было бы не импортозамещение, а «технологический суверенитет».

Тем не менее за последние месяцы выяснилось, что ряд крупных отечественных игроков все еще использует импортные DLP.

ЛЮДИ И ГОСУДАРСТВО

По мнению Г.Рябовой, существуют отрасли, где российские компании в сфере информационной безопасности не могут заменить зарубежную продукцию. Например, на рынке систем управления базами данных (СУБД). Г.Рябова подчеркивает, что

для создания отечественных СУБД нужна государственная программа поддержки

Такая же проблема наблюдается с нагрузочным тестированием. Инфраструктура Сбера имеет колоссальные объемы и ни один производитель ПО не сможет в одиночку выполнить подобные работы, полагает она.

Ключевой проблемой остается и недостаток инвестиций.

Галина Рябова, «Ростелеком-Солар»:

– Сейчас у IT-бизнеса нет инструментов для увеличения вложений в наращивание объемов и запуска новых разработок. Гранты, которые сейчас выделяет государство, – это, скорее, помощь небольшим организациям. Даже крупным организациям сложно брать кредиты на развитие под 17% годовых.

При этом, обратила внимание Г.Рябова,

зарплаты разработчиков в первом квартале 2022 года в среднем выросли в полтора-два раза

Однако потенциал работников ИБ-рынка все равно недооценен бизнесом и государством, уверен В.Терентьев.

Виталий Терентьев, HeadHunter:

– Сейчас наблюдается ажиотаж, связанный с якобы большим количеством специалистов, уехавших из страны. Эта тема постоянно муссируется, хотя пока все изменения находятся в рамках статистических отклонений.

При этом, подчеркнул он, в отрасли, несмотря на ряд кризисов, ничего изменилось:

большинство высококлассных айтишников диктуют условия работодателям

По мнению директора по ИБ Тинькофф Банка Дмитрия Гадаря, для предотвращения киберинцидентов необходимо формировать правильные «пищевые привычки» людей в цифровом мире. Информационная безопасность должна становиться частью культуры во всех областях и сферах жизни, уверен он.

* DLP-система (от англ. Data Leak Prevention) – это специализированное ПО, которое защищает организацию от утечек данных.

Изображение: RSpectr, Adobe Stock, Freepik.com