Утечки персональных данных ... Ашот Оганесян, DLBI: Оборотные штрафы сделают вложения в информационную безопасность более выгодными, чем их уплата
Ашот Оганесян, DLBI: Оборотные штрафы сделают вложения в информационную безопасность более выгодными, чем их уплата...
Утечки персональных данных в последние годы стали одной из главных проблем не только ИБ-отрасли, но и всего общества. Изменят ли ситуацию вводимые для компаний оборотные штрафы, и какие еще меры помогут защитить персональные данные россиян, рассказал порталу Cyber Media основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
О спикере:
В 1996 году основал компанию DeviceLock и был техническим директором до 2020 года. После ее приобретения компанией Acronis, занял пост вице-президента Acronis по предотвращению утечек информации. В 2019 году основал сервис разведки утечек данных и мониторинга даркнета DLBI.
Cyber Media: На ваш взгляд, оборотные штрафы – это способ наказания компаний за допущение утечки или, скорее, мотивация заниматься защитой данных?
Ашот Оганесян: Оборотные штрафы – именно мотивирующий инструмент, который призван сделать вложения в информационную безопасность более выгодными, чем уплата «наказующих» санкций. И введение такой меры – следствие доказанной многолетней практикой неэффективности простого наказания операторов персональных данных, допустивших утечку.
Cyber Media: Существует мнение, что компаниям будет целесообразнее изначально закладывать в бюджет «расходы на утечки», чем заниматься обеспечением информационной безопасности. Возможно ли такое развитие событий?
Ашот Оганесян: Так было до сих пор, пока штрафы за утечки или нарушение порядка обработки персональных данных, составляли небольшую сумму (до 60 тыс. рублей). Оборотные штрафы, во-первых, выведут крупнейшие компании из-под защиты своего масштаба (для них это были вовсе копейки), а во-вторых, безусловно, превышают бюджет, необходимый для обеспечения безопасности данных, что делает инвестиции в сохранность информации более выгодными для компаний.
Cyber Media: Штрафы – далеко не единственный инструмент реализации государственной политики. В контексте борьбы с утечками данных, какие еще инициативы обсуждаются, могут быть приняты в ближайшее время?
Ашот Оганесян: Из всего обсуждаемого и принятого в последнее время, оборотные штрафы – потенциально наиболее действенный инструмент. Однако пока остаются нерешенными многие другие проблемы: например, штрафы не имеют никакого смысла при утечках из государственных органов. В этом случае необходимо введение персональной ответственности не только прямых виновников, но и всей вертикали – вплоть до главы ведомства.
Cyber Media: Помимо ответственности за утечку данных, есть и другие вопросы. В частности, кто будет устанавливать виновность компании и обстоятельства, в которых она произошла. Были ли эти обстоятельства непреодолимой силы или компания действительно халатно отнеслась к своим обязанностям. На ваш взгляд, у какого ведомства есть достаточная экспертиза (и штат специалистов) для такой работы?
Ашот Оганесян: В информационной безопасности нет ни смягчающих обстоятельств, ни обстоятельств непреодолимой силы – такой подход, в принципе, порочен, и я всегда выступал против его использования, в том числе, в рамках предложений Минсвязи, которое продвигало формат дифференцированной ответственности за утечки данных.
Что касается ведомства, которое могло бы расследовать ИБ-инциденты в целях определения ответственного за утечку, то это еще одна серая зона в применении новой нормы. Компетенциями и полномочиями в этой области обладают профильные подразделения МВД и ФСБ, но они уже предельно загружены существующими уголовными делами и вряд ли готовы к росту нагрузки в десятки раз.
Однако с учетом того, что решения, скорее всего, продолжит выносить РКН, а оспаривать их будут в арбитражных судах, наиболее вероятно, что расследованием и экспертизой утечек будут заниматься специализированные коммерческие организации, которые возможно пройдут какое-то лицензирование.
Cyber Media: Опыт последнего года показывает, что большинство компаний быстро приходят к тезису: данные утекли, но виноваты в этом контрагенты или подрядчики. На ваш взгляд, насколько это соответствует действительности и можно ли считать риски, связанные с контрагентами, смягчающими обстоятельствами в ходе утечки?
Ашот Оганесян: На данный момент это чаще соответствует действительности, чем нет. Многие компании и банки сегодня используют аутсорсинг различных услуг, в рамках которого обмениваются чувствительными клиентскими данными подрядчикам. Подрядчиками нередко являются небольшие компании, привлекающие клиента низкой ценой своих услуг, то есть экономящие на всем, включая информационную безопасность. Большинство из них никому не известны и не имеют репутации, а значит, не боятся рисков, связанных со скандальными утечками.
Однако после введения оборотных штрафов ситуация может измениться – крупные компании могут начать специально отдавать обработку данных на аутсорсинг аффилированным юрлицам с минимальным оборотом, на которые в случае чего будет возложена ответственность за утечку, а штраф будет минимальным. Эту дыру в законодательстве также нужно закрывать в рамках разработки правоприменительной практики.
Cyber Media: На ваш взгляд, есть ли какие-то эффективные механизмы борьбы с публикацией тех данных, которые уже утекли? Какие меры должно предпринять государство для снижения эффективности фишинговых кампаний, «звонков из вашего банка» и других видов кибермошенничества?
Ашот Оганесян: Уже опубликованные данные удалить крайне сложно. Как принято говорить: «Интернет помнит все».
Однако, как показала ситуация с утечками финансовых данных за последний год, большее влияние оказывает снижение самого спроса на украденную информацию. Например, после введения санкций против российских банков, сделавших невозможным перевод средств в Украину, ставшую за последние годы центром телефонного мошенничества, спрос на базы клиентов российских банков значительно снизился, что, вкупе с активным внедрением DLP-систем, привело к кардинальному снижению числа утечек в этом секторе.
Нужно не только предотвращать утечки, но и решать сами проблемы применения похищенных персональных данных – бороться с мошенничеством и фишингом. В этом случае утечки данных хоть и не сойдут на нет, но значительно уменьшатся в количестве.
Cyber Media: Если «интернет помнит все», то нужно ли готовить общество к тому, что Интернет всегда будет содержать большое количество чувствительных данных о них?
Ашот Оганесян: Понимание того, что какими бы данными о вас не обладал тот, кто звонит или пишет письмо, никак не подтверждает его личность – одна из основ кибергигиены. Постепенно и с большим скрипом пользователи начинают привыкать к этому и правильно реагировать на очередные схемы фишеров или телефонных мошенников.
Однако, безусловно, необходимо обучение основам кибербезопасности как молодежи на уровне школьного образования, так и пожилых людей, чаще всего становящихся жертвами мошенников. В последнем направлении можно отметить инициативу МВД по проведению участковыми инспекторами профилактических бесед с пенсионерами о схемах телефонного мошенничества и правильной реакции на них.
Cyber Media: На ваш взгляд, какие условия должно создать государство (с помощью ограничений, субсидий, нормативов и т.д.), чтобы минимизировать риски утечки данных и их последующего использования?
Ашот Оганесян: Государство, в первую очередь, должно быть последовательным в применении уже разработанных мер. Те же оборотные штрафы нуждаются в создании конкретной правоприменительной практики по расследованию и доказыванию инцидентов, которые привели к утечкам.
Пока же не то, что не создан механизм, но даже не назначен орган, ответственный за проведение таких расследований. Также разработан, но практически не применяется, механизм создания и отзыва согласий на обработку персональных данных через портал Госуслуги.