Cyber Media: С вашей точки зрения ... Алексей Мунтян, Privacy Advocates: 80% утечек - истории с недовольными работниками, некрасивыми увольнениями, скандалами
Алексей Мунтян, Privacy Advocates: 80% утечек - истории с недовольными работниками, некрасивыми увольнениями, скандалами...
Алексей Мунтян – основатель и СЕО компании Privacy Advocates. Соучредитель и член Правления Russian Privacy Professionals Association (RPPA.ru). Внешний Data Protection Officer в двух транснациональных холдингах.
Cyber Media: С вашей точки зрения, какие ошибки привели к инцидентам последних месяцев?
Алексей Мунтян: Я не готов сказать, были ли допущены какие-то ошибки. Утечки случаются постоянно, просто о большинстве мы никогда не узнаем. Зачастую это целевые атаки, заказы конкурентов, недоброжелателей – кого угодно. Иногда взломщики действуют из спортивного интереса. А некоторые «хакерские» сообщества так проверяют умения новичков – ставят задачу взломать такой-то сервис. Справился – получаешь «левел-ап», тебя допускают в какое-то сообщество.
Опыт Европы, США, других развитых стран, которых часто ставят в пример, показывает, что от такой атаки ни одна компания не застрахована. Вот недавно жертвой стала General Motors. Причём там злоумышленники получили доступ к учётным записям пользователей и смогли воспользоваться их бонусные баллы – оформить себе подарочные карты на услуги General Motors.
К сожалению, часто такие атаки происходят по умыслу внутренних нарушителей. 80% инцидентов – это истории с недовольными работниками, некрасивыми увольнениями, скандалами, за которые кто-то пытается отомстить своему работодателю. Или же люди уходят из компании и прихватывают рабочие данные, чтобы потом продать конкурентам или открыть свой бизнес.
Атаки внутренних злоумышленников редко становятся известными, потому что такие люди стараются остаться незамеченными – кто захочет привлекать к себе подозрения? Они стремятся как можно тише извлечь выгоду из скомпрометированных данных и дальше заниматься своими делами.
Инциденты последних месяцев отличаются тем, что компании почувствовали на себе общественное внимание. Так, в результате одной из утечек был создан сайт с картой, позволяющей визуализировать результат утечки применительно к конкретным пострадавшим физическим лицам. Через некоторое время этот ресурс обогатили информацией из других взломов. Если можно так сказать, это очень user-friendly подход – 99% людей не будут качать какой-то архив, копаться там. А вот когда можно вбить свой номер, номера своих друзей и знакомых, получить выборку – это уже совсем другой уровень осознания угрозы.
И неважно, что эти данные уже во многом устаревшие. За последние 10 лет очень много информации утекло, люди сейчас только приоткрыли для себя этот мир. Многие компании, которые занимаются деловой разведкой, профессионально мониторят утечки, по кусочкам собирают паззл. Я могу вас заверить, что базы таких организаций охватывают подавляющую часть взрослого населения, их досье вполне могут поспорить по полноте данных с государственными системами.
Cyber Media: Это звучит пугающе – вбить телефон человека, получить информацию по нему. Напоминает проверки службы безопасности.
Алексей Мунтян: Это хуже, потому что редкая служба безопасности может следить за вашими перемещениями на протяжении какого-то времени. Здесь дело как раз в том, что людям приоткрыли щёлочку в этот мир. Если погрузиться в работу компаний, которые работают в сфере безопасности, дата-аналитики, можно только поразиться их возможностям.
Это только первая часть – сформировать дата-сет, обогатить его, пусть из фактически нелегальных источников. Следующий шаг – анализ всей этой информации из сервисов доставки, служб такси, историй покупок в интернет-маркетплейсах. Вы удивитесь, какие гипотезы и предпопложения о человеке и его возможном поведении можно таким образом сформировать и проверить. А следующий шаг – понять, как на ваше поведение можно влиять, им можно управлять.
Дата-аналитики утверждают, что у любой банковской организации, которая пытается строить цифровую экосистему, достаточно данных, чтобы понять поведение человека и «правильно с ним поработать». Например, человек приходит в автосалон. Можно включить ему «правильную» музыку, сказать «правильные» слова, задействовать определённые запахи, надавить на определённые точки. Человек «растает», его можно подтолкнуть к покупке нужного автомобиля.
Cyber Media: Когда данные утекают из крупного маркетплейса, клиенты теряют к нему доверие. Какой вы можете порекомендовать алгоритм для служб безопасности, чтобы хотя бы минимизировать репутационные риски?
Алексей Мунтян: Не существует универсальной формулы, это всегда комплекс юридических, технических, организационных мер. Я бы сделал акцент на проактивности. Проще не создавать риски, чем бороться с последствиями.
В GDPR (General Data Protection Regulation, Общий регламент по защите данных Европейского союза) есть базовый принцип – минимизация обработки данных. Вы сокращаете объём данных, время их обработки, количество лиц, которые с ними имеют дело, многое другое. В результате утечки наносят гораздо меньший ущерб и компании, и её клиентам, и уровню доверия между ними.
И я советую специалистам по безопасности критически относиться к процессам обработки данных, которые придумывает бизнес. Бизнес ставит собственные цели, говорит на языке денег и, к сожалению, не всегда учитывает риски информационной безопасности. Европейский подход состоит в том, что privacy-специалисты подключаются к дизайну процессов уже на этапе концепта. Они смогут указать на уязвимые места в потоках данных, дополнительно верифицировать операции, которые задумал бизнес.
Cyber Media: Какой ещё опыт других стран вы могли бы посоветовать российским организациям? Ведь от сегодняшних специалистов по безопасности требуется не только купить «железо», но и решать задачи в интересах бизнеса, предоставлять рекомендации.
Алексей Мунтян: Есть прозрачные работающие механизмы. Есть Data Protection Impact Assessment (DPIA) – формализованная процедура для оценки безопасности процессов. В её рамках есть два концепта: privacy by design (проектируемая приватность) и privacy by default (приватность по умолчанию). Ничего придумывать не надо, на эту тему написано очень много книг, эти концепты стали частью GDPR.
Эти подходы нужно интегрировать в процессы, и здесь специалистам по безопасности данных нужна поддержка руководства компании – топ-менеджеры должны осознавать, о чём речь.
У нас, к сожалению, есть только «эхо» в виде оценки возможного вреда субъектами персональных данных. Практически все компании подходят к этому требованию формально, как и надзорный орган, который просто ставит галочку – есть или нет. Потому что в законе требования к такой оценке не установлены.
Cyber Media: Что касается поддержки государства – какие законопроекты, на ваш взгляд, могут минимизировать утечки, изменить условия работы на этом рынке?
Алексей Мунтян: Топ-20 этих активностей я выкладывал в своем TG-канале (https://t.me/prv_adv). То есть инициатив очень много, выделить хочу только одну – реформа 152-ФЗ, которая включает требование подключить всех операторов персональных данных к ГосСОПКе (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).
По моему мнению, это нереально выполнить. Сейчас ГосСОПКА работает с 3 тысячами организаций в рамках защиты критической информационной инфраструктуры. А операторов ПДн, у нас, по разным подсчётам, 4-7 миллионов.
Я не представляю, как они смогут всё переварить. Как подключить к ГосСОПКе всех ИП и каждый детский сад «Колокольчик»? Всё профессиональное сообщество не приветствует этот подход – все сходятся, что это будет не так эффективно, как просто внедрение уже существующих мировых практик.
Некоторые инициаторы законопроекта возражают, что подключиться будет легко, денег не потребуется – просто по электронной почте нужно будет присылать информацию об инцидентах. Но так система не может нормально работать, потому что ГосСОПКА, которая входит в инфраструктуру Национального координационного центра по компьютерным инцидентам (НКЦКИ), должна сама мониторить ситуацию. Она имеет смысл в крупных предприятиях с масштабной ИТ-инфраструктурой, обширными базами данных. Таким организациям система помогает расследовать инциденты по горячим следам.
А у средних, небольших, микропредприятий просто нет возможности что-то подключить и отслеживать. Есть у тебя почта на «Яндексе» и Office 365 – вот и вся твоя инфраструктура. Поэтому можно только констатировать, что идея с обязательным непрерывным взаимодействием всех операторов персональных данных с ГосСОПКА, безусловно, не является благой.
Как и инициатива Минцифры по оборотным штрафам за утечки. Они, кстати, будут уникальным явлением – в других крупных юрисдикциях таких штрафов нет.
Cyber Media: А что там?
Алексей Мунтян: Там есть штраф за несоблюдение законодательства. Если в Европе происходит утечка данных, первое, за что штрафуют – за нарушение статьи 32 GDPR, невыполнение технических мер по защите информации.
Штрафовать за утечку – значит создавать дополнительные юридические проблемы, посколько нужно квалифицировать определённые события как утечку. Я уверен, что компании будут привлекать дорогих юристов, чтобы доказать, что тот или иной инцидент – это вовсе не утечка данных. Это потенциально успешная стратегия.
Сейчас Роскомнадзор накладывает небольшие наказания, и бизнес на это смотрит сквозь пальцы. А если будут оборотные штрафы, компании станут биться в суде не на жизнь, а на смерть.
Я не уверен, что эти штрафы будут в том виде, в каком их сейчас пытаются согласовать. Но наверняка ужесточение будет, и мы будем искать собственный путь, не особо оглядываясь на других. Хотя я знаю, что сейчас коллеги из государственных структур очень внимательно изучают опыт Китая.