Сохранить комфорт в транзитном мире
«Каждый может выработать оптимальные параметры цифрового присутствия»
Любой человек способен самостоятельно защитить персональные данные (ПД). Для этого нужно построить модель информационных угроз, а затем минимизировать объем цифрового штампа физического лица, следуя Рекомендациям профессионалов. Об этом в интервью RSpectr рассказал директор Исполкома Национального Дельфийского совета России Артемий Понявин. Методическое пособие уже размещено на сайте Роскомнадзора.
RSpectr: Какие ПД сегодня особенно нуждаются в защите и где они наиболее уязвимы?
Артемий Понявин (А. П.): ПД надо защищать все и всегда. 152-ФЗ* и GDPR** трактуют их максимально широко. Это не только адреса, номера паспортов, машин и т. д., а также данные, которые могут нас идентифицировать – заказы в службе доставки, установленные приложения, отпечатки пальцев. Надо четко понимать, что ПД человек создает сам, и от того, как их производить и распространять, зависит в том числе защита его частной жизни.
RSpectr: Нет сомнений в актуальности созданных Рекомендаций для физических лиц по защите ПД. Они понятны тем, кому адресованы?
А. П.: Методические рекомендации по организационной защите физическим лицом своих персональных данных уже опубликованы в электронной библиотеке портала ПД Роскомнадзора. Они доступны и, на наш взгляд, понятны и интересны неограниченному кругу лиц, по сути, всем нам.
Сегодня мы живем в эпоху большого эксперимента и отладки электронных сервисов – так называемом транзитном мире, – уже выйдя из аналоговой, но еще не попав в цифровую экономику
И инструменты защиты данных тоже до конца не отлажены.
RSpectr: Каковы ключевые понятия Рекомендаций?
А. П.: Цифровое присутствие. Дело в том, что в настоящее время никто не может быть выключен из информационного обмена. Он происходит в том числе и в фоновом режиме, без каких-либо целенаправленных действий с нашей стороны. Цифровое присутствие организовано при помощи огромного количества как собственных устройств, так и принадлежащих третьим лицам.
Люди, как правило, поддерживают избыточный уровень использования устройств и сервисов
Пользуются множеством приложений и сайтов, которые абсолютно не нужны. Фотографируются, публикуют много лишнего в социальных сетях, находятся в режиме «постоянной подключенности». Этот массив информации и такие поведенческие привычки способны только навредить человеку.
Мы полагаем, что Регламент цифрового присутствия мог бы позволить людям достаточно комфортно жить в нашем транзитном мире.
RSpectr: Кто изначально является его автором?
А. П.: Регламент цифрового присутствия, который стал основой Методических рекомендаций, разработал Научно-практический центр Дельфийских игр (R&DDG).
Дирекция Дельфийских игр обрабатывает множество личных данных участников Игр, она является оператором ПД. Когда мы создали информационную систему ПД (ИСПДН) «Дельфийские игры», поняли, что со своей стороны мы защищаем ПД конкурсантов, а вот как они обращаются с ними, не ясно. Между тем следование определенному алгоритму в отношении информации определяет благополучие в дальнейшей профессиональной жизни.
Мы поняли, что можем рекомендовать Регламент не только молодым талантам в области культуры и искусства, но и широкому кругу людей. Для этого обратились в Консультативный совет Роскомнадзора и в само ведомство. Совместно с коллегами решили, что стоит создать профильную рабочую группу Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных. В нее вошли специалисты самого широкого спектра. Это люди, которые профессионально занимаются защитой данных в профильных компаниях, представители академической сферы, операторы связи.
В рамках Консультативного совета прошло обсуждение Методички с представителями госорганов и операторами ПД. Были серьезные споры, но все же выработали взвешенную консолидированную позицию. После чего стало понятно, что Рекомендации можно выпускать в публичное пространство.
RSpectr: Они способны привлечь внимание пользователей наличием в них эмоционально окрашенных понятий – цифровые штамп, след, тень. В чем их различие?
А. П.: Первый раздел методички посвящен глоссарию. Мы постарались обобщить все термины, которые существуют в этой сфере, чтобы прийти к общему пониманию.
След – это то, что мы сами оставляем в электронной среде – звонки, SMS, аккаунты в соцсетях, проезд по «Тройке», оплата банковской картой и т. д. Цифровая тень – все, что рассказали о нас устройства третьих лиц. Например, снимок камерой на улице, запись журналистом публичного лица на диктофон, SMS о ваших действиях, переданная одним пользователем другому и т. д.
Цифровой штамп объединяет следы и тени. Становясь стандартизированными, они позволяют человеку контролировать свое цифровое присутствие, делать его максимально эффективным. На наш взгляд,
целесообразно регламентировать правила поведения в каждом секторе жизни: какую информацию надо производить и оставлять в социальных сетях, при покупке в интернет-магазине, записи ребенка в школу
Это, безусловно, инструмент мощного самоконтроля.
RSpectr: Помимо Регламента цифрового присутствия Рекомендации включают модель угроз безопасности ПД человека?
А. П.: Да, на ее разработку нас вдохновили документы, которые были разработаны ФСТЭК в 2008 году. Мы постарались выработать подходы, применимые к физическим лицам.
В любом мобильном устройстве хранится огромное количество контактов. Это своеобразная ИСПДН. Почему ее никто не защищает? Это может нанести вред как самому владельцу, так и тем, чьи данные он обрабатывает.
С базовыми моделями угроз должен быть знаком каждый
Это позволит довольно эффективно управлять своим информационным окружением. Мы описали наиболее распространенные ситуации, в которых человек может быть подвергнут недружелюбному воздействию со стороны третьих лиц, а также пути противодействия подобным угрозам.
Идея Рекомендаций состоит в том, чтобы каждый смог осознать уровень имеющегося и необходимого цифрового присутствия, понять модели угроз. Далее разработать регламент и определить, какими приложениями и на каких устройствах пользоваться, настроив свой аппаратно-программный комплекс. Читая наши методические рекомендации в пошаговом режиме, это может осуществить любой человек.
RSpectr: Аппаратно-программный комплекс (АПК) – это некое приложение?
А. П.: Ни в коем случае. Мы исходим из того, что все сервисы и приборы являются недоверенными, то есть мы не знаем, как они функционируют. При разработке АПК, о котором Вы говорите, человеку придется верить еще кому-то, кто разработал сервис – появится дополнительное потенциально уязвимое звено. На наш взгляд,
эффективный объем своего цифрового присутствия целесообразно контролировать самостоятельно реализуемыми организационными мерами
RSpectr: Вы поддерживаете граждан, которые не рискуют отдавать биометрические данные банкам? В ЦБ говорят, что проект пока показывает свою несостоятельность.
А. П.: Мы не занимаемся охранительством. Если человек хочет поделиться биометрией, это его право. Но очевидно, что смартфон потенциально более опасен, чем, например, телефон-фонарик. И с помощью последнего, посредством SMS, тоже можно общаться с финансовым учреждением. Получается, мобильное приложение устанавливать не обязательно, поскольку объем взаимодействия с банком не столь велик.
Я не говорю о том, что не надо пользоваться благами цивилизации. Нужно, но тогда, когда механизмы отлажены.
RSpectr: Как Вы считаете, легко ли будет внедрять Рекомендации в массы?
А. П.: Далеко не все люди готовы к этому. Это тяжело и требует организационных и материально-технических усилий, поэтому многие не соглашаются. В рамках нашей текущей работы мы видим, что порядка 40% людей считает, что Рекомендации интересны. Эти люди заставляют себя перестроиться, подчеркну, именно заставляют, а потом переносят опыт на свое окружение.
RSpectr: Какие препятствия мешают людям защищать свои ПД?
А. П.: Лень и банальная беспечность. И самое главное – это недооценка людьми рисков. О последнем свидетельствует хотя бы ситуация, которая сложилась в армиях РФ и США, когда военнослужащие двух стран не всегда целесообразным способом стали использовать всевозможные средства связи, что привело к запрету на отдельные устройства и функции. Пентагон дал подобные рекомендации на днях, ранее вопрос был поднят Минобороны России.
RSpectr: Когда цифровой мир станет абсолютно безопасным?
А. П.: Никогда.
Я не призываю всего бояться, а предлагаю создать такой объем цифрового присутствия, который будет максимально эффективен и оптимально безопасен
Согласитесь, нельзя сказать, что футбол абсолютно безопасная игра, но это не значит, что им не стоит заниматься. Мир сегодня непредсказуем, опять же в силу того, что он пока не цифровой, а транзитный. Когда мы перейдем в реальную цифру, безопасность будет намного выше, но об абсолютном ее уровне говорить все равно невозможно, что нормально.
______________________________
* Федеральный закон № 152-ФЗ «О персональных данных».
** GDPR (General Data Protection Regulation) – Общий регламент по защите данных в Евросоюзе.
______________________________
СПРАВКА
Понявин Артемий Владимирович
- Директор Исполкома Национального Дельфийского совета России
- Член Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных
- Член Экспертного совета по цифровой экономике и блокчейн технологиям при Комитете Государственной Думы Федерального Собрания Российской Федерации по экономической политике, промышленности, инновационному развитию и предпринимательству
- Председатель Управляющего совета ГБОУ Школа №814
- Кандидат экономических наук, доцент
Фото Департамента международных и общественных связей
Национального Дельфийского совета России
