Навигация
Цитата

Утечка персональных данных

Утечка персональных данных российских граждан

По данным исследования, проведенного компанией Perimetrix, более половины российских компаний (52%) обрабатывают свыше 10 тыс. записей персональных данных. Утечка такого объема информации — это далеко не локальный инцидент, поскольку группу риска составляет количество людей, сравнимое с населением небольшого города. Очевидно, что в случае неблагоприятного исхода потери исчисляются не только суммой в денежном эквиваленте с большим количеством нулей — наносится ущерб и репутации компании.

Примерно каждая шестая российская компания (15,3%) обрабатывает персональные данные более 1 млн человек. Это и государственные учреждения, и крупные коммерческие компании. Если такое предприятие представлено на фондовых рынках и об утечке информации из него станет известно, акции мгновенно потеряют в цене: инвесторы не станут дожидаться окончания расследования инцидента.

Защищенность персональных данных

По данным мировой статистики об инцидентах в сфере ИБ, около 90% всех утечек так или иначе связаны с действиями персонала. Таким образом, чем больше сотрудников обладает доступом к массивам персональных данных, тем выше риски утечки.

Теоретически рассуждая, доступ к массивам персональных данных стоило бы ограничить службой безопасности. Однако в большинстве случаев (57,6%) доступ к информации есть и у ИТ-персонала. Это связано с особенностями российского бизнеса, в котором сферы ответственности ИТ и ИБ часто не разделяются.

Денис Зенкин: Существует несколько постановлений, "уточняющих" и "раскрывающих" закон о персональных данных

Денис Зенкин: На сегодняшний день правительство выпустило несколько постановлений, "уточняющих" и "раскрывающих" закон о персональных данных. В их числе постановление №781 от 17 ноября 2008 года "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", постановление №687 от 15 сентября 2008 года "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"...

Николай Федотов: Прежде всего следует задаться вопросом о том, зачем вообще нужна защита персональных данных в нашей стране, где персональные данные сами по себе ценности не представляют, ликвидными не являются и, соответственно, злоумышленниками не похищаются. Но если все же браться за указанную защиту (например, "на вырост" или "потому что в цивилизованном мире так принято"), то встают следующие проблемы.

Теоретически рассуждая, доступ к массивам персональных данных стоило бы ограничить службой безопасности. Однако в большинстве случаев (57,6%) доступ к информации есть и у ИТ-персонала. Это связано с особенностями российского бизнеса, в котором сферы ответственности ИТ и ИБ часто не разделяются.

Кроме того, угрозу утечки персональных данных несут топ-менеджеры (21,9%) и аналитики (18,5%). Первые, отличаясь высоким уровнем халатности, нередко имеют полный доступ к корпоративным ресурсам, который им открывают ИТ-специалисты во избежание конфликтных ситуаций. У вторых, как правило, неоправданно широкий уровень доступа. Для решения большинства задач аналитикам достаточно обезличенных статистических выборок, а не массивов реальных персональных данных.

Отдельного упоминания заслуживают call-центры и службы технической поддержки. Вероятность утечки данных через них весьма высока, поскольку сотрудники этих отделов обычно не отличаются высокой лояльностью и не всегда достаточно компетентны в сфере безопасности. Проблема, связанная с подобными рисками, устраняется достаточно просто: ограничением доступа к массивам данных. "Слить" персональные данные миллиона людей поштучно очень непросто.

Параметры исследования

В рамках исследования, проведенного компанией Perimetrix совместно с ABISS, журналом "Информационная безопасность" и порталом bankir.ru, было опрошено 389 человек, среди которых 84,5% составили специалисты в области ИТ и ИБ.

Если сравнить защищенность персональных данных и информации, которая составляет коммерческую тайну, можно сделать два вывода. Во-первых, российские компании понимают важность защиты персональных данных и защищают их не хуже, чем коммерческую тайну. Во-вторых, безопасность обоих типов информации находятся на одинаково низком уровне.

По данным исследования, "Инсайдерские угрозы в России 2008", два наиболее действенных класса систем защиты — решения для шифрования данных в местах хранения и комплексные продукты по защите от утечек — имеют крайне низкий уровень проникновения (36% и 24% соответственно). Другие системы безопасности занимаются защитой исключительно от внешних вторжений.

Еще одну угрозу персональным данным представляет доступ к информации со стороны партнеров и аутсорсинговых партнеров. Хотя в России культура аутсорсинга сравнительно слабо развита, только две трети (64,3%) отечественных компаний имеют монопольный доступ к персональными данными, 24,7% организаций делятся информацией с дочерними и материнскими структурами, оставшиеся 11,1% несут риски утечки информации через партнеров по полной программе.

Персональные данные и законодательное регулирование

Использование персональных данных в отечественных организациях жестко регулируется законодательством с помощью федерального закона "О персональных данных". Этот документ, основной в данной сфере, вступил в действие 30 января 2007 года и, по сути, представляет собой перечень самых общих высокоуровневых требований к защите персональной информации. В силу того что конкретные детали в законе не рассматриваются, он в его нынешнем виде почти не может применяться в бизнесе. Без конкретики этот норматив едва ли имеет смысл, оставаясь лишь набором общих рекомендаций.

Публикация конкретизирующих нормативов — не единственный способ оживить этот мертвый закон. В конце 2007 года был назначен орган ("Россвязькомнадзор"), ответственный за реестр операторов персональных данных, и стартовала его разработка. Спустя четыре месяца представители регулятора объявили о создании реестра и призвали все российские компании внести туда свою информацию. К середине ноября 2008 года в реестре содержались сведения почти о 25 тыс. операторов персональных данных.

Рост озабоченности российских компаний влиянием федерального закона косвенно подтверждается статистикой. Большинство специалистов (79,7%) уже пыталось вникать в положения ФЗ и задумывались о его возможном влиянии на бизнес. Оставшиеся 20,3% респондентов имеют о законе смутное представление либо вовсе с ним не знакомы.

Пятая часть (20,3%) респондентов полагает, что их компании полностью удовлетворяют требованиям закона. Эта уверенность едва ли имеет под собой основания, учитывая размытость требований. Поскольку положения ФЗ могут по-разному толковаться, до появления конкретизирующих нормативов заявлять о полном соответствии опрометчиво. В данном контексте выглядят гораздо ближе к действительности сообщения более половины специалистов о том, что их компании не выполняют требования закона частично (46,3%) либо полностью (11,1%).

В целом операторы персональных данных готовы следовать федеральному закону, однако не до конца понимают, как именно это сделать. Более того, участники рынка считают необходимым не только выполнять положения ФЗ, но и делать больше, чем предписывается, в целях защиты владельцев персональных данных. В частности, практически две трети (65,3%) респондентов уверены, что в федеральный закон должно включаться требование, согласно которому предприятия будут обязаны делать информацию об утечках ПД публичной. И только 18,5% специалистов считают, что каждая компания вправе самостоятельно решать, как поступать в случае инцидента. Такое требование, уже действующее в нескольких западных странах, наносит компании значительный ущерб в результате утечки информации. А значит, заставляет уделять безопасности большее внимания и повышает роль ответственных за нее подразделений.

Каковы перспективы?

В целом исследование показало чрезвычайную важность и растущую актуальность защиты персональных данных. Сегодня российские компании обрабатывают огромное количество информации такого рода. В большинстве случаев доступ к ней не контролируется, что приводит к высоким рискам утечки.

Законодательное регулирование защиты ПД до сих пор практически не работает, а ФЗ "О персональных данных" по-прежнему выдвигает только общие и неконкретные требования. Каждая компания трактует эти требования исходя из собственных соображений, а иногда — просто их игнорирует. Правоприменительная практика в отношении ФЗ отсутствует, контроль над исполнением закона де-факто не производится.

Вместе с тем российское правительство предпринимает шаги для реанимации федерального закона и для осуществления контроля над операторами персональных данных. Поскольку ФЗ уже давно вступил в силу, российские компании должны быть готовы к публикации конкретизирующих документов и появлению контроля над исполнением закона. Конечно, это событие не может произойти в один момент, однако и реализация комплекса защитных мер требует времени. Задумываться о защите персональных данных необходимо уже сегодня, внедрять защиту — завтра, а послезавтра — спокойно наблюдать за схваткой государства и менее дальновидных компаний.

Денис Зенкин: Существует несколько постановлений, "уточняющих" и "раскрывающих" закон о персональных данных

Своим экспертными мнением с CNews поделился Денис Зенкин, директор по маркетингу компании Perimetrix http://perimetrix.ru/.

На сегодняшний день правительство выпустило несколько постановлений, "уточняющих" и "раскрывающих" закон о персональных данных. В их числе постановление №781 от 17 ноября 2008 года "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", постановление №687 от 15 сентября 2008 года "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", положение №512 от 6 июля 2008 года "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных". Рассмотрим вкратце последнее.

Казалось бы, приведенные в постановлении требования являются набором стандартных процедур для обработки любых конфиденциальных данных. И тем не менее совершенно очевидно, что документ направлен на защиту владельцев биометрических персональных данных, и не только их. В постановлении прописаны, повторюсь, достаточно банальные, но очень верные правила. Например, в пункте 9 говорится о том, что обработка биометрических персональных данных должна осуществляться только с письменного согласия их владельца. Если из этого утверждения выбросить слово "биометрических", фраза не потеряет смысла, а, наоборот, станет еще более важной. Любые персональные данные должны обрабатываться только с согласия их владельца.

И так оно и есть. Недавно, открывая в банке счет, я обратил внимание на отдельный листок, находившийся среди прочих документов. Подписывая его, я доверял кредитной организации обрабатывать свои персональные данные. Насколько я знаю, этот банк — один из немногих, кто ввел подобный документ в стандартный набор для клиентов. Но подвижки радуют. Надеюсь, что интернет-провайдеры тоже скоро начнут предлагать доверить им свои персональные данные, а не только требовать паспорт.

В пункте 4 того же документа сообщается о том, что необходимо исключить несанкционированный доступ к биометрическим данным и несанкционированную запись информации. Прекрасно! Заменяем "биометрическим" на "персональным" и берем на вооружение. В пункте 8 немало внимания уделено возможности отследить утечку информации. Все носители персональных данных подлежат учету. Более того, на каждом носителе должны содержаться метки, позволяющие узнать, кто записал информацию. Однако этого недостаточно, чтобы обнаружить, кто допустил утечку. Дополнительно, следовало бы записывать, и для кого предназначается носитель данных. Единственная возможность выйти на след инсайдера — это узнать в реестре оператора кому, когда и почему был передан носитель информации (пункт 5).

Нельзя не отметить и существующие лазейки. Так, пункт 4б достаточно очевидно указывает на то, что биометрические персональные данные граждан должны предоставляться в распоряжение спецслужб, а также заинтересованных государственных органов ("уполномоченных лиц"). Каким образом будет происходить идентификация и аутентификация уполномоченных лиц, остается неизвестным. В этой связи возникает вопрос о безопасности данных. Возникает вопрос и о том, будут ли процедуры достаточно хороши, чтобы, с одной стороны обеспечить доступ уполномоченных лиц, с другой — предотвратить несанкционированный доступ к информации. Можно предположить, что проблема будет решаться стандартными средствами, с помощью несимметричного шифрования и электронных подписей.

Николай Федотов: Кризис спровоцирует повышение спроса на DLP-системы

Своим экспертными мнением с CNews поделился Николай Федотов, главный аналитик компании InfoWatch .

CNews: Какие сейчас существуют основные проблемы в области защиты персональных данных? Как их можно решить?

Николай Федотов: Прежде всего следует задаться вопросом о том, зачем вообще нужна защита персональных данных в нашей стране, где персональные данные сами по себе ценности не представляют, ликвидными не являются и, соответственно, злоумышленниками не похищаются. Но если все же браться за указанную защиту (например, "на вырост" или "потому что в цивилизованном мире так принято"), то встают следующие проблемы.

Первая: как нам заставить защищать персональные данные в государственных и полугосударственных учреждениях, где бюджета на такую защиту нет, традиций охранять "права человека" нет и не было, квалифицированного ИТ-персонала нет и не будет? Коммерческие предприятия, будучи стимулированы к тому вертикалью власти и административным ресурсом, все вышеуказанное найдут и сделают. Но надо ли плотно затягивать гайки в одном месте, когда в другом зияет необоримая дыра?

Проблема вторая: какие данные считать персональными? Где провести границу между информацией, действительно нуждающейся в конфиденциальности, и информацией, которая лишь чисто формально, из-за слишком широкого определения относится к персональной, доступность которой никакой угрозы не несет?

CNews: Как вы считаете, изменит ли кризис отношение компаний к защите персональных данных? Не вызовет ли текущая экономическая ситуация сокращения средств, выделяемых на ИБ?

Николай Федотов: Думаю, что кризис может повлиять на эту область. В кризисные времена обостряется конкуренция — там, где она была. Следовательно, актуализируется защита некоторых видов конфиденциальной информации. Например, базы данных клиентов, похитив которую можно приобрести конкурентное преимущество.

Что касается бюджетов на ИБ, то кризис должен способствовать не их сокращению, а снижению издержек производства. Для некоторых случаев, когда риски были завышены или даже вовсе не оценивались, бюджет на ИБ — чистые издержки, подлежащие беспощадному урезанию. К ним же относятся и средства, выделявшиеся на нахлебников, которые изображали секьюрити-специалистов. А для других случаев ситуация противоположная, и проведение дополнительных мероприятий по защите информации как раз и означает снижение как рисков, так и непосредственных издержек.

Поэтому наша компания, в частности, ожидает повышение спроса на DLP-системы — системы защиты от утечек конфиденциальной информации.

CNews: Как вы считаете, осознает ли государство несовершенность существующих регуляторов в этой области? Будут ли предприниматься какие-либо шаги для того, чтобы изменить ситуацию? К чему стоит быть готовым операторам и компаниям, работающим в этой сфере?

Николай Федотов: Государство — это неодушевленная машина. Но отдельные его представители, а может быть, даже и группы, безусловно, осознают, что нынешнее законодательство о персональных данных далеко от совершенства. Они видят, что в этой сфере взяткоемкость выше среднего уровня, а это способствует не столько реальной защите, сколько ведет к размножению бумаг и прочей бюрократии. Законодательство можно существенно улучшить.

Однако произойдет это не завтра. Скорее всего, до совершенствования законодательства и подзаконных актов по защите персональных данных руки дойдут только в следующей пятилетке. В текущей бизнесмену надо быть готовым выполнить необходимый минимум формальных требований, предъявляемых уполномоченными государственными органами. Драматических затрат это не повлечет, но и проигнорировать новые положения не удастся.

Адрес новости: CNews
Опубликовано:05.12.08, Просмотров:8807, Печать