ИТ-эксперт Лев Матвеев — о рисках информационной безопасности и передачи компаниями персональных данных

У каждого времени свое любимое слово. Наше войдет в историю «цифровизацией». Но в плане безопасности мы к ней еще совсем не готовы — ни государство, ни компании, ни каждый из нас лично.

Одна из ключевых проблем — сохранность персональных данных. В эпоху цифровизации они накапливаются в критических объемах. Контроль над ними уже практически упущен, при этом появляются инициативы, которые могут усугубить ситуацию. Например, если одни компании получат право передавать собранные персональные данные другим. Внесение такого предложения в правительственную рабочую группу по нормативному регулированию цифровой экономики обсуждается на уровне бизнес-сообщества и фонда «Сколково».

Мониторинг даркнета показывает, что в информационной безопасности корпораций и так полно дыр. Темный интернет полон актуальных баз страховых компаний и банков, сканов паспортов, мобильных телефонов. Здесь можно заказать услугу «пробивания» по базам любых реестров, это стоит недорого. Если вы пользуетесь интернетом, все ваши особенности поведения, отношения (в том числе с близкими людьми), пристрастия (в том числе интимные), состояние здоровья собираются в цифровую копию личности.

Сбор данных изначально осуществляется на законных основаниях, но сохранность, по сути, не обеспечивается. Кто-то выдает информацию в многочисленные базы в даркнете, и эти люди не хакеры, а персонал компаний. Обычный сотрудник банка или отеля имеет доступ к тысячам сканированных паспортов, и для мошенничества с ними не нужно быть компьютерным гением. Если даже в больших корпорациях находятся пробелы, что говорить про малый бизнес, у которого совсем нет бюджетов на защиту данных.

Ситуация изменится, только когда появится реальный и массовый, а не гипотетический ущерб для компаний и организаций. Как в истории с British Airways. Из-за утечки с сайта авиакомпании почти 400 тыс. пассажиров пришлось идти в банк, чтобы перевыпустить карточки, данные которых были скомпрометированы. Акции компании упали, подмочена репутация, появился риск громадного штрафа.

Правда, в нашей стране подобная ситуация пока маловероятна, потому что компании о таких инцидентах не распространяются. 86% из них, согласно нашему исследованию, скрывают подобную информацию и не оповещают пользователей. Правоохранители не могут расследовать такие дела, в их штате нет профессиональных экспертов по информационной безопасности.

Зарубежные компании к ответственному поведению мотивирует новый регламент, где зафиксированы правила работы с персональными данными в Европейском союзе — GDPR. Согласно ему, упомянутой British Aiways может грозить штраф до $650 млн! В этом плане российский ФЗ-152 предполагает мягкое наказание и слабо исполняется. Нарушить закон для компаний и организаций почти ничего не стоит.

Хотя сам по себе он нравится мне больше европейского GDPR. Он лучше описывает, что считать критичной персональной информацией и в общем-то не делает различий между цифровой или бумажной формой. В то время как GDPR пытается регулировать исключительно цифровое пространство.

Но первый шаг вперед на государственном уровне сделан — 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который описывает требования к защите важных объектов — от здравоохранения до ядерной инфраструктуры.

Это реально повлияет на безопасность систем, в том числе сохранности данных — появляется централизация (раньше требования были отраслевые) и экспертиза. Консультируют эксперты отрасли, что приближает закон к жизни. Проблемы реализации существуют. Требования к технической стороне иногда противоречивые: что-то определено широко, что-то, наоборот, косно. Но начало положено.

Следующий шаг за корпоративным сектором, который должен принять ответственность за собранную информацию. В большинстве компаний нет даже регламентов, как нужно обрабатывать и хранить данные о клиентах.

Разработчиков программного обеспечения, сервисов и любых умных устройств я тоже призываю взять на себя часть ответственности. Можно сколь угодно долго рассуждать о сознательности пользователя. Но, думаю, сервисам пора прекратить думать только о том, как обезопасить себя, вовремя меняя пользовательское соглашение. Они должны принять тот факт, что в мире, где объем информации увеличивается по экспоненте, им, как операторам критичных данных, нужно быть старшим партнером в отношениях с пользователями.

Фото: Schneider-group.com

Другие новости по теме «Безопасность»

Май 23, 2019 - 09:55

Министерство туризма Индонезии рекомендует туристам избегать мест скопления людей в центре Джакарты, сообщает газета Jakarta Post со ссылкой на заявление ведомства.

 

Май 22, 2019 - 20:18

Ассоциация Содействия Российско-Китайскому Туризму считает, что действия Заместителя Председателя Комитета по развитию туризма Санкт-Петербурга можно рассматривать как лоббирование интересов одних компаний в ущерб другим участникам рынка, что неизбежно приведет к переделу китайского турпотока.

 

Май 21, 2019 - 10:15

По имеющейся информации в Роспотребнадзоре на территории Франции зарегистрировано ухудшение эпидемиологической обстановки, связанной с увеличением численности комаров, которые являются переносчиками лихорадок Зика, денге и чикунгунья.

 

Май 21, 2019 - 09:58

Туристы из России три часа провели в милицейском участке в Минске из-за фото с памятником городовому. В Таиланде за селфи с самолетами грозит штраф, а то и смертная казнь, если вспышка ослепит пилотов и приведет к авиакатастрофе.