На BIS Summit-2023 обсудили регулирование в сфере защиты данных от утечек

21 сентября 2023 в Москве состоялся XVI саммит по информационной безопасности BIS Summit-2023. Мнениями по проблематике утечек данных, регулированию этой сферы и повышения ответственности операторов персональных данных поделились представители органов власти, ИТ- и ИБ-разработчиков и бизнеса. Также на саммите были продемонстрированы современные технологии и инновационные функции DLP-систем: в частности, участники оценили перспективу применения искусственного интеллекта.

Центральными сессиями BIS-Summit-2023 стали две пленарные дискуссии, посвященные законодательным, правовым и методологическим основам защиты от утечек данных. Предваряя основной диалог, модератор первой сессии, президент ГК InfoWatch, председатель правления АРПП «Отечественный софт» Наталья Касперская привела свежую статистику, полученную экспертно-аналитическим центром InfoWatch.

 

Наталья Касперская, президент ГК InfoWatch

 

Оказалось, что по итогам первой половины 2023 года в мире продолжается лавинообразный рост количества утечек данных, однако в России произошло небольшой снижение – на 17,5%. Кроме того, изменился преимущественный характер утечек.

 

 

«Раньше мы всегда говорили, что в основном воруют персональные данные. В России так и остается: на персональные данные приходится почти 74% из всех известных утечек. Но в мире резко выросла доля других категорий: это, например, коммерческая тайна, ноу-хау и другие. Есть предположение, что, возможно, в России такие инциденты просто не становятся известными, о них не сообщается, потому что нет требования законодательства по публикации этих утечек», – заметила Наталья Касперская.

 

 

Регуляторы: в приоритете «метод кнута»

По версии регуляторов, рост количества утечек в России обусловлен как усилением процессов цифровизации, так и политическими факторами. Безусловно, необходимо уделить пристальное внимание регулированию этой сферы отрасли ИБ, а также определению всех нюансов, связанных с фиксацией факта утечки и выявлением ответственного за нее.

 

Милош Вагнер, заместитель руководителя Роскомнадзора

 

Заместитель руководителя Роскомнадзора Милош Вагнер обратил внимание на то, что каждая новая попавшая в руки злоумышленников информация обогащает уже существующую базу знаний. Например, имеющиеся данные о ФИО человека, его номере телефона – можно дополнить информацией о мобильном операторе, которым тот пользуется, о составе его семьи и т. д.

«Каждая новая утечка дополняет «серый» цифровой профиль человека и представляет ценность. У нас в подведомственном предприятии есть научно-технический совет, мы приглашаем туда различных специалистов. Они рассказывают, например, что можно на основе анализа и сопоставления небиометрических данных улучшить качество биометрических шаблонов и их степени идентификации. Поэтому мы считаем, что нельзя относиться к этому так: раз данные утекли, значит, их можно теперь и не защищать. Нужно принимать меры, чтобы такого не происходило», – рассказал спикер.

 

Александр Шойтов, заместитель министра цифрового развития, связи и массовых коммуникаций РФ

 

Заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов подтвердил, что увеличение числа утечек связано и с классическим мошенничеством в целях незаконного обогащения, и с действиями иностранных структур в целях дестабилизации обстановки в стране: «Часто мы сталкиваемся с тем, что новой утечки на самом деле не происходит, но из старой утечки создается некий информационный повод, который на самом деле не подтверждается. Одни и те же утечки подаются «под разным соусом». Это не значит, что утечек нет вообще. Просто к этому надо более критически относиться».

 

Илья Массух, директор ЦКИТ

 

Директор АНО «Центр компетенций по импортозамещению в сфере информационно-коммуникационных технологий» Илья Массух добавил, что на рост утечек, начавшийся в 2022 году, повлияло то, что большое количество людей начали пользоваться разными информационными сервисами: «И количество утечек, и количество обрабатываемых данных будет увеличиваться. В России общество активно пользуется информационными ресурсами. Происходит постоянная идентификация. Это, конечно, лакомый кусочек и для деструктивных элементов, и для определенной дискредитации. Поэтому, конечно, всем защищаться придется».

Заместитель директора ФСТЭК России Виталий Лютиков уверен, что обесцениванием негативного эффекта от утечек занимаются, в первую очередь, операторы персональных данных, которые на сегодняшний день не видят для себя никаких рисков: штрафы небольшие, судебных разбирательств практически нет. Но для каждого конкретного человека риски существенны.

 

Виталий Лютиков, заместитель директора ФСТЭК России

 

«Мы должны бороться с таким обесцениванием. Мы все говорим о повышении ответственности, но это пока только разговоры. Нужно предпринимать действия: вводить оборотные штрафы, разбирать факты утечек, учиться подтверждать, что они действительно произошли. И самое главное – надо выделить те персональные данные, которые действительно наносят ущерб. Иначе при современном развитии технологий и цифровых сервисов мы не сможем всё защитить. Сосредоточить усилия по безопасности нужно на главном – том, что приносит существенный ущерб для субъекта», – уверен Виталий Лютиков.

Промежуточным итогом этой части дискуссии стал доклад депутата Госдумы РФ, председателя Комитета Госдумы по информационной политике, информационным технологиям и связи Александра Хинштейна – о подготовке поправок в законодательство, касающихся ужесточения ответственности операторов персданных за утечки.

Так, законотворцы предлагают установить действительно серьезные санкции, которые будут рассчитываться в зависимости от содеянного ущерба и повторности инцидента. За утечку от 1 тыс до 10 тыс записей субъектов персональных данных для юридических лиц предусматривается штраф от 3 до 5 млн рублей. За утечку от 10 до 100 тысяч записей – штраф от 5 до 10 млн рублей. Если компания потеряла контроль более, чем за 100 тысячами записей – штраф составит от 10 до 15 млн рублей.

 

Александр Хинштейн, депутат Госдумы РФ

 

«На сегодняшний день проект поправок в КОАП, которые увеличивают ответственность операторов, согласно регламенту, направлен авторами в Правительство для получения официального отзыва. Во все заинтересованные ведомства документ поступил еще летом, всеми проработан. Также планируются поправки в Уголовный кодекс, в котором появится уголовная ответственность за утечки», – пояснил спикер. Он также отметил, что депутаты приветствуют максимально открытое обсуждение данного законопроекта, поскольку тема является общественно значимой.

 

Бизнес: а как насчет презумпции невиновности?

Представители бизнеса несколько по-другому подходят к проблематике утечек.

 

Александр Егоркин, первый вице-президент ОАО «Газпромбанк»

 

Так, первый вице-президент ОАО «Газпромбанк» Александр Егоркин задается вопросом о том, кто должен определять, что утечка произошла – сам оператор персональных данных или какой-то компетентный орган? «Любая система уязвима, и уязвимость – измеряемая величина. Имея неограниченный ресурс в деньгах и времени, любую систему можно взломать. Полностью избежать утечек в принципе невозможно, как и защититься от инсайдеров. Защититься можно только от конечного числа известных угроз. Раньше мы получали перечень уязвимостей от вендоров, а сейчас сканируем себя сами. Не думаю, что все 100% юридических лиц этим занимаются», – указал он.

 

Екатерина Ефимова, руководитель направления персональных данных ФГУП «ГРЧЦ»

 

Руководитель направления персональных данных ФГУП «ГРЧЦ» Екатерина Ефимова ставит на первое место среди причин массовых утечек глобальные факторы. Вместе с тем к операторам персональных данных тоже остаются вопросы. Например, некоторые из них обрабатывают огромные массивы данных, часть из которых им не нужна и хранится просто «на всякий случай». «Бывает, что операторы не соблюдают даже элементарные требования законодательства. У нас законом предусмотрены организационные, технические и правовые меры. Мы анализируем сайты операторов – у многих даже не размещен документ, определяющий политику обработки персональных данных. Кто-то не состоит в реестре операторов», – пожаловалась она.

 

Рустэм Хайретдинов, заместитель генерального директора УК «Гарда»

 

Заместитель генерального директора УК «Гарда» Рустэм Хайретдинов добавил, что персональные данные – не единственное, что компании обязаны защищать: есть также интеллектуальная собственность, коммерческие секреты и т. д. «Во время импортозамещения появляется очень много инноваций. Поэтому есть, что защищать, но много чего и утекло. Это плата за цифровизацию. Мы понимаем, что «цифра» течет гораздо легче, чем бумага», – пояснил он.

 

Андрей Арефьев, директор по инновационным проектам InfoWatch

 

Директор по инновационным проектам InfoWatch Андрей Арефьев добавил, что «цифра» привносит дополнительное свойство данным, за счет чего, казалось бы, обычные сведения о человеке (имя, адрес, телефон) вызывают определенные риски с точки зрения утечки.

Результат – начало диалога

В блиц-интервью с редактором ICT-Online.ru Наталья Касперская прокомментировала результаты дискуссий и оценила позиции сторон.

– Какие, на ваш взгляд, выводы можно сделать по результатам дискуссий с регуляторами и бизнесом?

Конечно, и регуляторы, и бизнес высказывают свою точку зрения на тему законодательства. На этой площадке мы пытаемся создать им условия для диалога, продуктивного обсуждения. Проблем накопилось много, все поднятые вопросы очень острые. Например, по защите от утечек принимается закон, и пока он в основном демонстрирует кнут, которым будут бить.

– Какова позиция InfoWatch в этой полемике?

Мы смотрим с точки зрения производителей софта и оператора персональных данных. На наш взгляд, когда принимается закон об оборотных штрафах, – как минимум должно учитываться то, насколько организация постаралась себя защитить. Мы двадцать лет занимаемся защитой от утечек и прекрасно понимаем, что гарантировать отсутствие утечек невозможно. В любой информационной системе есть уязвимые звенья: прежде всего – сотрудник с высоким уровнем доступа, который может какие-то данные похищать и куда-то передавать. И от этого гарантированно защититься нельзя. А сейчас законодателями диктуется некая «презумпция виновности»: если у тебя случился инцидент, значит, ты виноват. Но проблема в том, что не всегда понятно, когда произошла утечка, а когда нет.

– На BIS Summit-2023 были найдены какие-то новые аспекты обсуждения, новые подходы?

Дискуссия свелась к тому, кого считать виноватым. Сейчас в законопроекте предполагается, что виноватыми будут считаться руководители предприятия, которые обязаны обеспечить защиту, а также начальники службы ИБ, которые непосредственно за это отвечают. Но на второй секции был приведен очень яркий пример, когда в компании очень долго ловили злоумышленника, который воровал информацию для продажи. Во-первых, его долго вычисляли, а во-вторых, после этого надо было доказать его вину, то есть совершить отдельный большой блок действий. И нам теперь нужно оштрафовать начальника ИБ, который допустил инцидент?

Мне кажется, новый подход был обозначен в момент, когда представители ФСТЭК и Роскомнадзора заявили о необходимости соблюдать некий баланс, выстраивать диалог. Очень хорошо, что этот диалог начался.

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: информационная безопасность, InfoWatch