О нововведениях в области кибербезопасности, которые касаются всех.
Омское региональное отделение Ассоциации юристов России провело юридический бизнес-завтрак «Де-юре и де-факто» на тему «Закон о персональных данных по полочкам: что изменилось и почему это касается каждой компании».
Спикером выступила директор центра развития компетенций по информационной безопасности ООО «АМИТЭКС», кандидат технических наук Анна МИТРОХИНА (на фото). Организатор мероприятия, директор ООО «Юридическая компания» Ф-Групп» и председатель исполнительного комитета Омского регионального отделения Ассоциации юристов России Елена БОГДАНОВА также представила Анну Валерьевну как белого хакера.
В чем проблема?
Актуальность информационной безопасности действительно невозможно переоценить: за два последних года количество утечек персональных данных пользователей в России выросло почти в 40 раз. За первые семь месяцев 2023 года Роскомнадзор зафиксировал уже 150 инцидентов. Согласно июльскому исследованию экспертно-аналитического центра ГК InfoWatch, в котором приняли участие 1500 представителей частных и государственных организаций из отечественного промышленного сектора, в 70% случаев утечка данных была следствием умышленных действий. В 50% эти умышленные действия совершали сотрудники самих организаций, в 18% – они же с участием внешних к компании нарушителей, в 5% – подрядчики предприятий. Только 14% утечек происходит из-за непреднамеренных ошибок сотрудников, 5% – сотрудников безопасности или системных администраторов, 5% – топ-менеджера организации.
По оценкам отечественных специалистов по кибербезопасности, за 2022 год из российских компаний утекло более 300 млн записей персональных данных – больше, чем у нас зарегистрировано граждан. Среди компаний, которых это постигло: Delivery Club, Яндекс.Еда, Яндекс.Практикум, Kari, Гемотест, Почта России, Ростелеком, РИА «Новости», СДЭК, Тele2, Тutu.ru. Во всех случаях виновные найдены не были. В этом году в интернет утекли 9,6 млн уникальных записей клиентов интернет-магазина «Читай-город», не менее 7,7 млн записей торговой сети «Ашан», 4,7 млн записей интернет-магазина сети «Леруа Мерлен», 3,8 млн записей магазина book24.ru (3,8 млн). Весной был опубликован архив с телефонами, адресами и номерами карт 47,9 млн пользователей бонусной программы «Сберспасибо». Скандал посвежее случился неделю назад: в сеть попали персональные данные более 1 млн держателей карт МТС-банка, в том числе ИНН и гражданство, неполные данные банковских карт и сроки их действия.
Законопроект, направленный в конце июля в адрес премьер-министра России Михаила МИШУСТИНА, все это время является предметом активных дискуссий: свои замечания высказывают Минюст, Минэк, Минфин, Минцифры. Разногласия касаются, в основном, двух вопросов: стоит ли засчитывать в качестве смягчающего обстоятельства добровольные выплаты операторов, допустивших утечку данных, гражданам, чьи данные утекли, и каким именно должен быть размер штрафа – пока предлагается установить его на уровне 0,1–3% от оборота компании. Бизнес, разумеется, считает эти меры репрессивными: «Опора России» указывает, что штрафы таких объемов поставят под угрозу банкротства малый и средний бизнес. Ассоциация компаний интернет-торговли (Ozon, Wildberries, Яндекс.Маркет) предложила применять оборотные штрафы только к тем операторам, которые повторно допустили утечку данных свыше 1 млн пользователей.
Что изменилось?
МИТРОХИНА напомнила: с 1 сентября прошлого года вступили в силу изменения в закон № 266-ФЗ, обязавшие всех операторов персональных данных уточнить, какие именно персональные данные и зачем они обрабатывают, и подать об этом уведомление в Роскомнадзор:
– Избыточных персональных сведений, которые вы обрабатываете, в базе данных не должно быть. То есть, допустим, торговая компания выдает карты лояльности, скидочные карты и просит заполнить анкету, чтобы изучить свою целевую аудиторию. Если помимо фамилии-имени-отчества, телефона и электронной почты фирма просит указать пол, то это будет избыточными персональными данными.
Эксперт уточнила: ФИО и телефон – 100% персональные данные, поскольку у нас у всех есть идентификатор на госуслугах, где сведены воедино и зафиксированы эти сведения. Предприниматель, который владеет именами и номерами телефонов потребителей своих услуг и товаров, автоматически становится оператором персональных данных и должен отчитываться в Роскомнадзор.
Особые опасения в сохранности и добровольном использовании вызывают биометрические данные, которые нужны элементарно для разблокировки айфона (FaceID): достаточно всего шести точек на лице человека, чтобы безошибочно идентифицировать его личность. Та же технология используется при оформлении заграничного паспорта. МИТРОХИНА сделала неутешительный вывод: нравится нам или нет, наши биометрические данные уже есть в распоряжении спецслужб. Однако в нашем праве запретить кредитным и прочим организациям передавать эти сведения на сторону, если мы ранее давали согласие на их обработку (если не давали, то ничего делать дополнительно не нужно):
– Внимательно читайте то, что вы подписываете, вникайте во все. Если вы не согласны с какими-то условиями договора, выражайте свою позицию. В течение 10 дней с момента написания вами отказа в обработке персональных данных, организация должна выдать вам уведомление о том, что ваши персональные данные она больше не обрабатывает.
С этим вопросом столкнулись в одной из омских частных медицинских клиник: клиентка категорически отказывалась давать согласие на обработку своих персональных данных, но без этого она не могла попасть на прием к врачу. Она все-таки поставила подпись, но потребовала прекратить обработку, выйдя от доктора. В регистратуре пошли навстречу и удалили при пациентке документацию, чего делать, по замечанию МИТРОХИНОЙ, категорически нельзя было по причине, указанной выше, – организация обязана выдать уведомление после письменного заявления об отказе в обработке персональных данных.
На ком ответственность?
Завязалась дискуссия: участники завтрака были возмущены тем, что любой, сдав анализы и получив пароль для входа в базу, может ознакомиться и с чужими результатами, если обладает нужными персональными данными. Утечку может, по сути, спровоцировать и какая угодно медсестра, имеющая доступ к массиву документов. МИТРОХИНА успокоила: на всех, кто обладает такой возможностью, и лежит ответственность за использование информации. В спорных ситуациях проводятся экспертизы, анализируются логи, и если требуется, съемка с камер видеонаблюдения, ведь войти в систему можно и под чужой учеткой. В особо сложных случаях приходится прибегать к профайлингу: составлению психологического портрета сотрудника с запросом, способен ли тот быть инсайдером, способен ли на противоправные действия. Работникам, сливающим персональные данные, грозит наказание вплоть до уголовной ответственности, поэтому, как объяснила МИТРОХИНА, нераспространение персональных данных пользователей прописывается в доктрине информационной безопасности компании, с которой обязан быть ознакомлен каждый сотрудник, имеющий допуск в информационную систему предприятия:
— Для того, чтобы сподвигнуть компании заниматься этими вопросами, государство и вводит оборотные штрафы по инициативе Роскомнадзора. 500 тысяч штрафа за утечку персональных данных для условных Яндекс.Еды или СДЭКа – копейки. Весь смысл введения оборотных штрафов в том, чтобы стимулировать компании нанимать профессионалов в области информационной безопасности, не урезать бюджеты на контроль за обработкой персональных данных. Пока безопасников в некоторых компаниях называют «агент 007»: 0 бюджета, 0 сотрудников, 7 инцидентов. Президент же своим указом поставил безопасника совершенно на новый уровень в любой компании: каждое предприятие, обрабатывающее критически важную информацию, – заводы, медицинские организации, образовательные учреждения должны иметь заместителя по безопасности. Генеральный директор и его заместитель по безопасности несут персональную ответственность за утечку любых данных, в том числе персональных. Сейчас компании начинают задумываться о формировании отделов информационной безопасности, они понимают, что если они не озаботятся этим вопросом в ближайшее время, то могут обанкротиться, их просто не будет на рынке. Для мелких компаний есть инфраструктура, которую предоставляют сервисы на аутсорсинге. Есть страховые компании, которые уже сейчас берут на себя киберриски.
Спикер пояснила: замом по безопасности должен быть отдельный от ИТ-отдела человек, поскольку допускающими утечку нарушителями являются, как правило, что, впрочем, неудивительно, именно айтишники. И это не рекомендация: отсутствие указанной штатной единицы на предприятиях, обрабатывающих критически важную информацию, чревато административной ответственностью – за исполнением следит Роскомнадзор. Впрочем, и этого человека можно нанять на аутсорсе, главное – посоветовала спикер – не из той же фирмы, что и своих айтишников.
На что еще обратить внимание?
МИТРОХИНА рассказала один из своих кейсов, где она выступала на стороне ответчика. Профессиональный фотограф вел предметную съемку. С одной из компаний он составил договор на создание эксклюзивных кадров, но нечаянно допустил утечку с этими изображениями. Архив попал в бесплатный фотобанк и вскоре компания-клиент этого фотографа обнаружила отснятые по заказу для нее кадры на баннерах города, которые рекламировали продукцию совсем другого предприятия. Судебный процесс обернулся финансовыми и репутационными потерями для ответчика.
Одним из решений утечек персональных данных станет, по словам директора «АМИТЭКСА», цифровой паспорт – уникальный идентификатор, который будет предоставлять сведения другой стороне не полностью и на основе токенов, меняющих в момент обработки динамические адреса: говоря проще, при следующем обращении шифр будет выглядеть иначе.
Поговорили и про то, что программное обеспечение Роскомнадзора автоматически мониторит сайты организаций, отмечая те из них, которые содержат форму обратной связи или заявку, любого сбора персональных данных. Если там же не размещена политика обработки персональных данных или анализ этих данных некорректен для компании, можно ожидать санкций от ведомства:
– Для многих предприятий сайт является бизнес-активом – для привлечения клиентов, для общения с ними, для поддержания имиджа и так далее. Если вы не озаботились тем, чтобы настроить правильно сбор, обработку, хранение, уничтожение данных, то рискуете лишиться этого бизнес-актива.
БОГДАНОВА напоследок напомнила: до конца 2024 года действует мораторий на проведение проверок бизнеса, но обезопасить себя от претензий Роскомнадзора лучше уже сейчас. МИТРОХИНА добавила:
– Самый уязвимый для оборотных штрафов бизнес – средний. Для него предусмотрены миллионные штрафы, обанкротиться можно моментально. Тем более с учетом того, что Роскомнадзор будет рассматривать каждый инцидент отдельно, и это возымеет накопительный эффект. Уделяйте время своей информационной безопасности.
Фото автора
Ранее репортаж был доступен только в бумажной версии газеты «Коммерческие вести» от 11 октября 2023 года.
