Беззащитная цифровизация
Эксперт по информационной безопасности Лев Матвеев об опасности игнорирования проблемы незащищенности персональных данных в программе цифровой экономики
Защита персональных данных – нерешенный вопрос в цифровом мире. Чем активнее мы уходим в сеть, тем большему риску подвергаются персональные данные, потому что тех, кто их отдает, собирает и обрабатывает, становится слишком много. Но есть один сегмент, где порядок навести точно можно и нужно, – это госсектор.
Государственная сфера, которая обладает максимально критичными данными о населении, увы, гораздо хуже, чем корпоративный сектор, их защищает. Здесь пока видят только одну сторону медали цифровизации: условные медкарты наконец будут переведены в электронный вид, так станет удобнее. А то, что это отличная лазейка для мошенников, которые могут продавать данные или шантажировать ими пациентов, – к осознанию этой угрозы в госсекторе только приближаются.
Логично было бы предположить, что национальная программа «Цифровая экономика», которая описывает цифровую трансформацию в нашей стране, ставит задачу по защите персональных данных. В конце января текст программы появился в открытом доступе, в том числе профильный проект «Информационная безопасность». К своему удивлению, развернутого плана по защите персональных данных я там не обнаружил.
В проекте 13 ключевых инициатив, по заявлению создателей – «с максимальными эффектами для бизнеса и граждан». Только одна из них касается вопроса обращения персональных данных – это пункт 12. В нем говорится о разработке специализированного ресурса, обеспечивающего гражданам России доступ к информации о случаях использования их персональных данных, а также возможность отказа от такого использования.
Но нигде в нацпрограмме и ни в одном ее проекте нет прямой директивы, говорящей, что информацию пользователей нужно защищать. Более того, часть мер сделают обращение данных только более опасным. Взять хотя бы создание платформы «Цифровой профиль», которая предполагает хранение данных в едином сервисе. Так их, по идее, легче контролировать, но проще и украсть, тем более к системе будут иметь доступ сотни или даже тысячи госслужащих.
Зададимся главным вопросом: что делать? Есть юридический и технический путь решения проблемы. Нужно идти по обоим.
Сначала о технической стороне. В этой части должны появиться директивы, указывающие, какое защитное программное обеспечение должно стоять в госорганизациях, работающих с персональными данными. Это средства полного сканирования на предмет неправомерного хранения данных (класс решений eDiscovery); система мониторинга передачи информации по всем сетевым каналам и на внешние устройства хранения (DLP); системы контроля активности сотрудников; наконец, инструменты расследования – это обезопасит в первую очередь сами организации, чтобы в случае утечки ответственность легла на конкретного виновника, а не все ведомство целиком.
Полный набор всего этого инструментария в российских госорганах почти не встретишь. Но даже если подобные системы закупаются, количество лицензий на порядки отличается от реального числа пользователей. Другая проблема в том, что без специальных директив никто не кинется активно этими программами пользоваться по назначению. Все перечисленные мною защитные решения – это не антивирусная программа. Их недостаточно один раз настроить, они требуют активных действий. Могли бы мотивировать штрафы, но они за утечку данных просто смешные. Правда, программа предполагает «разработку проектов актов о внесении изменений в действующее законодательство по новым составам и квалифицирующим признакам правонарушений, совершенных с использованием информационных технологий». Надеюсь, что это предполагает ужесточение профильного закона о персональных данных, ФЗ-152.
Нам не нужно изобретать велосипед, достаточно пойти по пути Европы с ее практикой исполнения требований GDPR (General Data Protection Regulation – Общий регламент о защите персональных данных). Но что делает эффективным GDPR и неэффективным наш закон о персональных данных? Принципиальное различие – в санкциях к нарушителям. На всех действует отрезвляюще, что даже неевропейская компания может отхватить штраф в миллионы евро. В этом смысле наш закон абсолютно беззубый.
И отдельно о контролерах. В пункте 12 проекта «Информационная безопасность» перечислены органы, ответственные за проект: Роскомнадзор, Минкомсвязи, МВД, ФСБ, ФСТЭК. Ни одно из этих ведомств не занимается вопросом утечки персональных данных. Больше всего задача подходит Роскомнадзору, ведь он и так отвечает за соблюдение ФЗ-152 и ведет реестр операторов персональных данных. Правда, как показывает практика, ведомство не совсем хорошо справляется с уже возложенными на него задачами. Но пока нет одного ответственного, не удивлюсь, если ситуация будет выглядеть как в поговорке: «У семи нянек дитя без глазу».
Конечно, требование к обеспечению ПО существенно увеличит бюджет на программу цифровизации. А ужесточение штрафов за утечку данных будет воспринято как драконовские методы устрашения. Но тогда странно вообще затевать дело, не отдавая себе отчета, кто имеет доступ к данным, как и для чего их использует.
Наведение порядка – решаемая задача. На приличном уровне эта работа организована некоторыми отраслевыми регуляторами, в частности Центробанком, который дает вполне конкретные рекомендации банкам, что защищать и какими средствами это можно сделать. Есть наработанная практика, которую можно использовать по принципу «бери и делай».
Рискну предположить, что отсутствие внимания к защите персональных данных в программе – это не сознательное решение, принятое с целью описать вопрос подробнее в подзаконных актах. Это бессознательное игнорирование проблемы. Точнее, представление, что защита данных – это само собой разумеющийся процесс.
В этом плане очень показательна прошлогодняя история с московскими многофункциональными центрами (МФЦ), которую обнаружил «Коммерсантъ». Сотни сканов паспортов на компьютерах МФЦ были в свободном доступе, а Роскомнадзор не обнаружил здесь нарушения, не признал ответственность и МФЦ. Граждане, мол, сами виноваты, что не догадались стирать файлы со сканами паспортов.
И тем не менее выводы из истории сделали. После скандала в СМИ на компьютерах в МФЦ появились напоминания о необходимости «удалять с рабочего стола и из корзины копии своих документов во избежание их попадания к третьим лицам».
Вопрос защиты не решится сам собой. Его нужно ставить сразу, как и строить фундамент для возводимого дома.
Автор — председатель совета директоров SearchInform