«При стоимости средства защиты в несколько миллионов рублей им проще заплатить штраф»
Как ведомства и госпредприятия хранят персональные данные граждан, в чем причины масштабных утечек и почему Татарстан является ролевой моделью для других регионов
Официальные ведомства и госпредприятия, наряду с телекоммуникационными компаниями и ретейлом, являются крупнейшими операторами персональных данных населения. Безопасность их хранения контролируется и Роскомнадзором, и Федеральной службой по техническому и экспортному контролю (ФСТЭК), и ФСБ. Однако, как показывает практика, именно госсектор и связанные с ним организации остаются одними из главных источников утечек информации. «Реальное время» вспомнило самые громкие скандалы в этой сфере и выяснило у экспертов, чем объясняется такая ситуация и стоит ли татарстанцам беспокоиться за свои персональные данные.
Как «утекали» персональные данные россиян
Один из последних громких скандалов с утечкой персональных данных граждан произошел в ноябре прошлого года: журналисты «Коммерсанта» прошлись по московским МФЦ и обнаружили, что на установленных в отделениях компьютерах хранятся копии паспортов, СНИЛС, анкеты с указанием мобильных телефонов, банковские реквизиты и другие документы граждан. Доступ к этой информации имел любой желающий.
За несколько месяцев до этого инцидента «отличилась» мэрия Москвы: обращения граждан, которые должны были поступать городским властям в зашифрованном виде, публиковались прямо на сайте и индексировались поисковиками. Как следствие, запросы и жалобы вместе с паспортными данными и сканами других документов оказались в общем доступе.
Летом 2017 года Пенсионный фонд РФ был вынужден провести проверку по факту утечки персональных данных более 17 тысяч человек. Первым тревогу тогда забил web-разработчик Сергей Дерябин, случайно получивший массовую рассылку от одного из отделений ПФР: к письму был прикреплен документ, содержащий в себе даты рождения, адреса регистрации и номера СНИЛС нескольких тысяч граждан. В том же году подведомственное МЧС ФГУП «Военизированная горноспасательная часть» опубликовало номера паспортов, адреса и должности 158 своих сотрудников.
Наступивший 2019 год еще не успел «подарить» нам ни одного нового скандала с утечкой персональных данных населения, однако нет никакой гарантии, что это не случится в любой момент.
Проще заплатить штраф, чем обеспечить безопасность
Нормативная база и требования к операторам персональных данных определены в России довольно давно. Как поясняет руководитель службы информационной безопасности «БАРС Груп» Ильдар Гарипов, в части обработки персональных данных в России еще с 2006 года действует федеральный закон «О персональных данных», который распространяется на государственные и муниципальные органы, юридические и физические лица, обрабатывающие персональные данные. На основании этого ФЗ было разработано постановление правительства РФ, определяющее требования к защите данных в информационных системах.
Эти документы, в свою очередь, послужили фундаментом для приказа ФСТЭК, определяющего набор мер по обеспечению безопасности хранения личной информации граждан. Стоит заметить, что ФСТЭК рассматривает меры защиты некриптографическими методами — за защиту информации с помощью криптографических средств отвечает ФСБ. И последняя также разработала свой приказ о защите персональных данных.
— Соответственно, у нас есть федеральный закон, постановление правительства, а также приказы регуляторов, которые определяют то, каким образом необходимо обеспечивать защиту персональных данных в информационных системах, — комментирует Ильдар Гарипов. — Следующий шаг — это реализация мероприятий по обеспечению безопасности персональных данных. В этой части есть определенные вопросы.
Первый из них связан с ответственностью, которую несут операторы персональных данных: законодательством предусмотрены штрафные санкции в случае невыполнения требований по обеспечению безопасности. При этом величина штрафов несоизмерима с величиной затрат на приобретение средств защиты.
— Самое интересное здесь то, какие санкции накладываются в том случае, если произошел инцидент с утечкой. Штрафы измеряются десятками тысяч рублей. При стоимости средства информационной защиты в несколько миллионов, при немалой оплате труда специалистов по информационной безопасности, выливающейся за год в круглую сумму, проще заплатить этот штраф. В то же время, я уверен, что юридическое поле по данному вопросу обязательно будет двигаться в сторону ужесточения, — считает руководитель отдела аналитик компании «SearchInform» Алексей Парфентьев.
Генеральный директор IT-компании «Эттон» Ефим Климов подтверждает: ситуация сейчас складывается таким образом, что проще заплатить штраф, поскольку соблюдение законодательства требует определенных расходов.
— По опыту нашей компании могу сказать, что необходимо обеспечить отдельное помещение, в котором расположится специальное оборудование, также нужны специалисты, которые должны пройти обучение и получить специальные дипломы — это целый рад организационных мероприятий, а также расходы на само оборудование. Поэтому многим проще заплатить штраф, но, я вас уверяю, это происходит крайне редко — многие просто отписываются бумажками, — комментирует эксперт.
Технические решения против человеческого фактора
Второй вопрос связан с техническими средствами, обеспечивающими контроль и безопасность хранения данных. По словам аналитика компании SearchInform Алексея Парфентьева, необходимые продукты есть, но используются они не самым эффективным образом. Схожей позиции придерживается директор Positive Technologies по методологии и стандартизации Дмитрий Кузнецов.
— Основная проблема, с которой сталкиваются все отрасли, включая государственный сектор, — это не отсутствие решений информационной безопасности, а уязвимость используемого программного обеспечения, особенно прикладного. До недавнего времени владельцы государственных информационных систем стремились формально выполнить требования безопасности, а для этого устранять такие уязвимости необязательно, — констатирует эксперт.
В свою очередь аналитик SearchInform советует не перекладывать вину на юридические пробелы или отсутствие отечественного системного ПО, поскольку в прикладных продуктах по безопасности хватает недоработок. В частности, по его словам, все они так или иначе касаются необходимости оцифровать «человеческий фактор», мотив и намерения.
— Не только законодательство, но и здравый смысл делит угрозы на два типа: технические, а также со стороны человека. Для того, чтобы справиться с техническими угрозами, средств достаточно, однако с человеческим фактором все обстоит гораздо сложнее, поскольку в этом случае появляется риск утечки данных, использования инфраструктуры компании в личных целях, да обыкновенных кражи или мошенничества, наконец. Задача по выявлению «недобрых намерений» со стороны сотрудников, имеющих доступ к информации или инфраструктуре, сейчас остается острой в IT-мире. И здесь опять российские разработки выходят на первый план. Поэтому я бы не стал сгущать краски. Конечно, проблем хватает, но и успехи видны невооруженным глазом, — резюмирует Парфентьев.
Татарстан как ролевая модель и надежда на ФСТЭК
Если ситуацию с безопасностью хранения данных населения в целом по стране можно назвать не совсем стабильной, то в Татарстане, по словам экспертов, дела обстоят несколько иначе.
— В Татарстане с этим нет проблем. Все персональные данные, связанные с Порталом госуслуг, защищены — там есть оператор, который сертифицирован и ФСБ, и ФСТЭК. Плюс, все это находится в IT-парке, который также сертифицирован по очень жестким требованиям в плане безопасности. В целом по нашему региону вопросов нет. Татарстан в какой-то мере — уникальная территория, — считает Ефим Климов.
Позитивную оценку Татарстану дает и Ильдар Гарипов.
— Мы взаимодействуем с различными министерствами и ведомствами республики, и я вижу, что работы по обеспечению защиты информации проводятся, в том числе по защите персональных данных. Если мы говорим о государственных информационных системах, то нельзя ввести систему в эксплуатацию, не выполнив ее аттестацию по требованиям безопасности информации. Да, возможно, это несколько затягивается во временном интервале, но стоит учитывать, что этот вопрос тесно связан с выделением средств. Я не могу сказать, что ничего не делается — мероприятия однозначно выполняются. К примеру, если рассматривать ЦОДы республики, то они создают защищенные аттестованные контуры, в которые оператор может спокойно разместить свою информационную систему, — комментирует эксперт.
Как поясняют в Минсвязи РТ, безопасность хранения данных обеспечивается на техническом, нормативном и организационном уровне. В плане технической защиты внедряются передовые средства защиты как аппаратные, так и программные. На нормативном уровне принимаются ведомственные нормативные акты, регулирующие правоотношения, которые возникают при обеспечении информационной безопасности, в том числе и персональных данных. На организационном уровне сотрудниками, отвечающими за информационную безопасность, осуществляется контроль за безопасностью путем пресечения утечки персональных данных через сотрудников организаций и по техническим каналам.
На вопрос нашего издания о том фиксировались ли министерством недоработки в плане защиты персональных данных граждан в ведомствах и на госпредприятиях РТ, Минсвязи попросило обратиться в Роскомнадзор.
Ждать ли новых утечек?
В других же регионах России новые утечки персональных данных, по мнению главы компании «Эттон», вполне возможны.
— Приходя в различные ведомства в тех или иных регионах, мы наблюдаем ситуацию, когда информационная безопасность находится на крайне неудовлетворительном уровне. Мы, естественно, предупреждаем, что могут произойти кражи персональных данных, могут быть взломы. Если злоумышленник захочет, то он обязательно это сделает, — уверен Ефим Климов.
В этом вопросе директор Positive Technologies по методологии и стандартизации Дмитрий Кузнецов возлагает надежды на уже неоднократно упомянутый ФСТЭК.
— В последние годы Федеральная служба по техническому и экспортному контролю изменила подход к обеспечению информационной безопасности. Теперь, в соответствии с требованиями ФСТЭК, информационная система не может быть сдана в эксплуатацию, пока не будет проведен анализ уязвимостей и все выявленные уязвимости не будут устранены. Такая работа должна проводиться периодически в ходе эксплуатации системы. Усиление контроля ИБ привело к повышенному спросу со стороны органов власти на услуги тестирования на проникновение, а результаты таких тестов заставляют более трезво оценивать уровень защищенности своих систем, — резюмирует спикер.
Подписывайтесь на телеграм-канал, группу «ВКонтакте» и страницу в «Одноклассниках» «Реального времени». Ежедневные видео на Rutube, «Дзене» и Youtube.