Захист персональних даних: батіг чи пряник?

Про захист персональних даних говорять сьогодні всюди. З одного боку, компанії починають усвідомлювати, що витік даних негативно відбивається на їх репутації, з іншого - наближається момент, коли «півень клюнути може». Федеральний закон «Про персональні данни

Навряд чи хтось буде заперечувати, що в останні кілька місяців питання захисту персональних даних стали чи не найактуальнішими в області інформаційної безпеки. Актуальність цієї теми пояснюється декількома причинами.

По-перше, ні для кого не секрет, що персональні дані входять в число найважливіших інформаційних активів компаній, хоча і не є комерційною таємницею. Їх витік стає, м'яко кажучи, неприємністю як для власників, так і для тих, хто її допустив. Звичайно, такий новий вид злочину, як крадіжка особистості, в Росії ще не набув такого широкого поширення, як, наприклад, в США. Однак і в нашій країні діє велика кількість шахраїв і аферистів, які вміло користуються наявними відомостями про громадян. Плюс досить широке поширення споживчого кредитування (в докризові часи) на спрощених умовах. Все це може привести як до фінансових втрат для постраждалих людей, так і до банальної трати часу на розгляди. Ну а що до компаній, зараз в Росії найбільш актуальний репутаційний збиток. Штрафувати за витоку у нас ще не почали.

По-друге, операторами персональних даних є буквально все організації. Просто у когось цих відомостей більше, у когось - менше. Одні компанії зберігають записи про кілька мільйонів клієнтів, інші - про тисячі партнерів, а треті - всього лише про декілька десятків співробітників. Проте федеральний закон «Про персональні дані» стосується їх усіх.

По-третє, як ми вже зазначали вище, не можна забувати про законодавстві. Так, закон «Про персональні дані», якому скоро вже два роки з моменту вступу в силу, поки ще «не працює», як визнають і оператори, і регулятори. Однак ті ж регулятори, нарешті, почали перейматися питанням «чому не працює закон?» І роблять конкретні заходи, щоб закон став дієвим.

Одна з таких заходів - створення реєстру операторів персональних даних. (Хоча варто відзначити невисокий темп заповнення даного реєстру.) За рік з моменту підписання наказу «Про затвердження Положення про ведення реєстру операторів, які здійснюють обробку персональних даних», тобто з 28 березня 2008 року по 28 березня 2009 року, до реєстру було занесено приблизно 42 тис. операторів. Якщо і далі процес буде йти з такою швидкістю, то для запису тих мільйонів реальних операторів, про які говорять регулятори, знадобиться ще як мінімум сто років! Чи винен в такому положенні орган, на який покладено відповідальність за ведення реєстру (Роскомнадзор)? Почасти. Чи винні самі оператори? Безперечно. Але шукати винних - остання справа. Набагато важливіше придумати, як викрутитися з ситуації. Адже складання і ведення такого переліку - дійсно нетривіальне завдання. Завдання, рішення якої потрібно шукати і в області ІТ, адже саме ІТ в змозі забезпечити автоматизацію процесу і довести темпи наповнення реєстру до прийнятних значень. Допомогти вирішити проблему можуть і організаційні заходи. Наприклад, можливість операторам самим вносити себе в реєстр. Звичайно, тут зустрінеться чимало труднощів. Зокрема, заявка повинна бути коректною. І тим же ІТ-системам доведеться її перевіряти. І хоча оголошувати про тендер на створення ІТ-систем для автоматизації процесу наповнення і ведення реєстру операторів персональних даних поки передчасно, таку можливість не варто скидати з рахунків. Шматок ласий - можна не сумніватися, що вендори підтягнуться.

Готовий? Завжди готовий!

З 1 січня 2010 федеральний закон «Про персональні дані» перейде зі статусу «для ознайомлення» в статус обов'язкового до виконання. Що станеться після цього року? Процитуємо закон: «Інформаційні системи персональних даних, створені до дня набрання чинності цим федерального закону, повинні бути приведені у відповідність до вимог цього федерального закону не пізніше 1 січня 2010 року». Скільки компаній встигне удосконалити свої інформаційні системи? Тільки п'ята частина (20,3%) учасників дослідження «Персональні дані в Росії 2008" впевнена, що їх компанії виконують всі вимоги закону (див. Рис. 1). Навіть таку скромну частку можна вважати досягненням. Більшість компаній взагалі не можуть зрозуміти, як ці вимоги виконувати і що конкретно мається на увазі.

Восени 2008 року тільки 20% компаній відчували себе відносно впевнено. Тим часом сам закон «Про персональні дані» був прийнятий ще в середині 2006 року. Процес модернізації інформаційних систем - справа аж ніяк не хвилинне. Необхідно буде не тільки розгорнути необхідні кошти забезпечення безпеки, а й реформувати всю ІТ-інфраструктуру. Може знадобитися зміна і основних бізнес-процесів організацій. Все це разом зажадає титанічної праці і чималих фінансових витрат. Саме тому відведено три з половиною роки на підготовку і реорганізацію інформаційних систем. До теперішнього часу 20% компаній зуміли підготуватися, але виникає питання, чи встигнуть за решту 1,5 року підготуватися і інші 80% організацій?

Зрозуміло, ніякої контрольний орган не зможе обійти офіси всіх порушників, перевірити їх системи, в яких обробляються персональні дані, і накласти стягнення. Набагато реальніше небезпека зловживань. Причепитися можна практично до будь-якої компанії. Ну, може бути, за винятком тих самих 20,3%.

Чому персональні дані не захищені?

Відповідь на поставлене запитання гранично простий: «тому що ніхто їх не захистив». Персональні дані - та ж інформація, той же цінний ресурс організації, що і її комерційні або маркетингові плани. Навіть без оглядки на закони і нормативи можна уявити, як їх потрібно захищати. Так що ж краще захищена в російських компаніях - персональні дані або комерційна таємниця?

Виявляється, захищені вони приблизно однаково (див. Рис. 2). Однаково слабо. На це вказують і результати іншого дослідження Perimetrix - «Інсайдерські загрози в Росії 2008». Проникнення таких засобів, як системи захисту від витоків (24%) і рішення для шифрування даних (36%), знаходиться на вкрай низькому рівні. Інші ж Вашої оселі займаються захистом виключно від зовнішніх вторгнень і тому не можуть нічого вдіяти з більш небезпечними внутрішніми загрозами. Строго кажучи, захист персональних даних для компаній може бути завданням навіть більш важливою, ніж захист комерційної таємниці. Уявити організацію, яка не має комерційної таємниці, ще можна. А ось операторами персональних даних є всі компанії поголовно.

Загрози зовні і всередині

Практика показує, що найбільшу загрозу як для корпоративних конфіденційних відомостей, так і для персональних даних представляють власні співробітники. І чим більше працівників мають доступ до інформації (див. Рис. 3), тим вище ризик її витоку. Втім, доступ доступу ворожнечу. Якщо ми говоримо про можливість витоку персональних даних, то йдеться насамперед про інформаційні масиви, а не окремі записи. Поштучно такі записи теж можна викрасти, але масштаб такого витоку буде мінімальним. Базу позичальників крупного банку таким чином точно не винесеш.

Незважаючи на те, що в теорії доступ до масивів персональних даних повинні мати лише співробітники служби інформаційної безпеки, на ділі ситуація зовсім інша. У більшості компаній доступ мають не тільки в підрозділі ІБ, а й в службі ІТ. Висока чисельність ІТ-персоналу підвищує і ризики витоку інформації. Можна зрозуміти, що ІТ-фахівці повинні обслуговувати ці бази даних - хоча б робити резервні копії. Але зберігати інформацію в такому випадку слід в зашифрованому вигляді. Якщо необхідність доступу до інформаційних масивів з боку ІТ-персоналу можна якось довести, то можливість роботи з базами персональних даних інших категорій працівників викликає подив.

Часто (в 21,9% компаній) доступ надається топ-менеджерам, дії яких зазвичай відрізняються підвищеним рівнем недбалості. Керівники організацій відмовляються розуміти і приймати такий стан справ, коли вони не мають доступ до будь-якої інформації. І зовсім не важливо, що інформація ця керівнику в принципі не потрібна. Далеко не всі ІТ та ІБ-фахівці готові йти на конфлікт, але відстоювати вимоги політик безпеки. Набагато простіше задовольнити вимогу боса і забезпечити йому повний доступ.

Слідом за менеджментом по частоті звернень до масивів персональних даних (18,5%) йдуть аналітики. Теж дещо дивний факт, враховуючи, що для більшості завдань буде досить знеособлених статистичних вибірок. Ще один канал витоків персональних даних - це партнери або споріднені структури, які також отримують легальний доступ до інформації. За даними Ponemon Institute, до 40% інцидентів виникає з вини недобросовісних партнерів або аутсорсингових компаній. Дуже часто носії з інформацією втрачають транспортні компаніі.І хоча в Росії про аутсорсинг більше говорять, ніж використовують на практиці, проблема не втрачає гостроти і в нашій країні. Всього близько двох третин компаній (64,3%) мають змогу отримувати доступ до персональних даних. Решта надають інформацію материнським або дочірнім структурам (24,7%), а також партнерам (11,1% організацій).

Обмін персональними даними із закордонними компаніями збільшує і правові ризики. Згідно із законом «Про персональні дані» транскордонна передача даних можлива тільки з письмової згоди власників інформації. А отримати таку згоду технічно дуже складно. Можна запропонувати новим клієнтам підписати ще один додатковий документ, але обійти всіх старих клієнтів і отримати їх згоду - це трата величезних коштів і часу. В результаті серйозні труднощі у веденні бізнесу виникають, наприклад, у представництв іноземних банків в Росії. Передати базу клієнтів в центр обробки даних в іншій країні вже не можна. Обслуговувати російських громадян в зарубіжних відділеннях - теж. Адже їх персональні дані знаходяться в Росії.

Таким чином, компаніям доводиться або миритися зі зниженням ефективності бізнесу, або свідомо йти на порушення закону з усіма наслідками, що випливають ризиками. Аналогічної точки зору дотримується також Андрій Шабанов, генеральний директор SaaS-провайдера UCMS Group в Росії: «Коли UCMS тільки прийшла в Росію, проблеми транскордонної передачі персональних даних фактично не існувало. Проте ми передбачали розвиток подій в області законодавства і тому з самого початку будували власну інфраструктуру в Росії, щоб обробляти персональні дані клієнтів в межах країни ».

Навіщо ж їх захищати?

Тут вступає в дію концепція батога і пряника. Навіщо компаніям захищати персональні дані клієнтів і співробітників? З одного боку, того вимагає закон. З іншого - вимога це виникло не на порожньому місці. Адже російські організації обробляють величезну кількість персональних даних. Як показало дослідження, доступ до цих відомостей мають багато категорій співробітників. Але в більшості компаній відсутні засоби контролю доступу та запобігання внутрішніх інцидентів. А це збільшує ризик витоку інформації.

Тим часом в захист персональних даних зацікавлені не тільки їх власники (тобто ми з вами) або регулятори, а й оператори. Можна навіть поділити інциденти за масштабом. Витік персональних даних кількох людей, швидше за все, залишиться непоміченою або Неафішована. Це може привести до втрат виключно у власників персональних даних. Однак відомо велике число випадків, коли витікали відомості про десятки тисяч людей. Деякі подібні інциденти ставали надбанням гласності. Напевно, багато хто пам'ятає гучні витоку клієнтських даних з російських банків. Торговці дисками на московських радіоринках пропонують величезну кількість баз даних фізичних осіб. Витік дуже великих масивів персональних даних - це вже зовсім інша категорія інцидентів. Приховати таку витік компанії вже не вдасться. У підсумку - прямий збиток репутації, зниження вартості акцій та інші неприємності. Таким чином, захист персональних даних - це і спосіб підвищення конкурентоспроможності компаній. А для тих, хто не розуміє всіх переваг, є закон!

До речі, більшість учасників дослідження не сумнівається в користі захисту персональних даних і навіть ратує за посилення закону (див. Рис. 4). Вимога обов'язкового розголошення не тільки є нормою розвинених країн, а й, як не здасться дивним, вигідно практично всім. І регуляторам - оскільки дозволить посилити нормативний прес. І фахівцям з ІБ - оскільки підвищить їх внутрікорпоративну роль. І, звичайно ж, власникам персональних даних - оскільки змусить операторів дбайливіше ставитися до інформації. Невигідно вимога тільки власникам компаній і інвесторам. В цьому випадку підвищуються витрати на ліквідацію наслідків витоку.

Отже, що важливіше, умовний батіг або умовний пряник? Вирішувати кожному самостійно. Кнут - це закони, пряник - це можливість зберегти бізнес, зробитися конкурентоздатною, тим більше сьогодні, в умовах спаду економіки. Який з факторів виявиться вирішальним - не принципово. Важливим є те, що персональні дані стануть більш захищеними.

Володимир Ульянов - керівник аналітичного центру компанії Perimetrix; [email protected]

Сценарії витоку

Ось п'ятірка найбільш типових сценаріїв витоку персональних даних (за версією аналітичного центру Perimetrix):

• крадіжка або втрата носіїв з персональними даними;

• Web-витік - випадкова публікація персональних даних в загальнодоступних місцях;

• спланований інсайд - умисна крадіжка інформації співробітником, які мають легальний доступ до неї;

• паперова витік - друк і поширення персональних даних на паперових носіях;

• зовнішній злом корпоративної мережі.