Главный итог BIS Summit-2023: запущен диалог власти и бизнеса по проблеме утечек

27.09.2023 |

Андрей Блинов.

Проблематика утечек данных в госсекторе и коммерческих компаниях является одной из наиболее критичных для экономики страны. Рост инцидентов, связанных с персональными данными, спровоцировал регуляторов на ужесточение ответственности организаций за утечки: согласно новому законопроекту, компания, допустившая такое нарушение, получит оборотный штраф в несколько миллионов рублей. Однако у бизнеса своя точка зрения на этот счет: ведь даже сам факт утечки не всегда очевиден, не говоря уже о выявлении виновного. На XVI саммите по информационной безопасности BIS Summit-2023, состоявшемся 21 сентября 2023 в Москве, участники рынка, кажется, определили точки соприкосновения и продемонстрировали готовность к разумному диалогу.

Центральными сессиями BIS-Summit-2023 стали две пленарные дискуссии, посвященные законодательным, правовым и методологическим основам защиты от утечек данных. Модератор первой сессии, президент ГК InfoWatch, председатель правления АРПП «Отечественный софт» Наталья Касперская привела свежую статистику, собранную экспертно-аналитическим центром InfoWatch.

Наталья Касперская, президент ГК InfoWatch

Так, по итогам первой половины 2023 года, в мире продолжается лавинообразный рост количества утечек данных, однако в России произошло небольшой снижение – на 17,5%. Кроме того, изменился преимущественный характер утечек.

«В России продолжают в основном воровать персональные данные: на них приходится почти 74% от объема всех известных утечек. Но в мире резко выросла доля других категорий: коммерческая тайна, ноу-хау и другие. Возможно, в России такие инциденты просто не становятся известными, о них не сообщается, потому что нет требования законодательства по публикации этих утечек», – заметила Наталья Касперская.

По версии регуляторов, рост количества утечек в России обусловлен как усилением процессов цифровизации, так и политическими факторами. Например, заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов уверен, что увеличение таких инцидентов связано и с классическим мошенничеством в целях незаконного обогащения, и с действиями иностранных структур в целях дестабилизации обстановки в стране. При втором сценарии часто бывает, что злоумышленники создают инфоповод вокруг старой, неактуальной утечки, которая подается «под новым соусом». Поэтому спикер призвал более критически относиться к подобным сообщениям.

Директор ЦКИТ Илья Массух связывает рост утечек в большей степени с развитием цифровизации и популяризацией информационных сервисов.

Заместитель руководителя Роскомнадзора Милош Вагнер обратил внимание на то, что каждая новая попавшая в руки злоумышленников информация обогащает уже существующую базу знаний. Поэтому имеющиеся у операторов данные необходимо продолжать защищать несмотря на то, что какие-то базы утекают.

Заместитель директора ФСТЭК России Виталий Лютиков указал на факты обесценивания негативного эффекта от утечек, которым занимаются операторы персональных данных. По его мнению, государство должно бороться с таким обесцениванием и переходить от слов к делу: вводить оборотные штрафы, разбирать факты утечек, учиться подтверждать, что они действительно произошли. И главное – выделить те категории персональных данных, утечки которых действительно наносят ущерб.

Депутат Госдумы РФ, председатель Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн отчитался о подготовке поправок в законодательство, касающихся ужесточения ответственности операторов персданных за утечки. Санкции будут рассчитываться в зависимости от содеянного ущерба и повторности инцидента. Так, за утечку от 1 тыс до 10 тыс записей субъектов персональных данных для юридических лиц предусматривается штраф от 3 до 5 млн рублей. За утечку от 10 до 100 тысяч записей – штраф от 5 до 10 млн рублей. Если компания потеряла контроль более, чем за 100 тысячами записей – штраф составит от 10 до 15 млн рублей.

Представители бизнеса несколько по-другому подходят к проблематике утечек. Так, первый вице-президент ОАО «Газпромбанк» Александр Егоркин задается вопросом о том, кто должен определять, что утечка произошла – сам оператор персональных данных или какой-то компетентный орган? «Любая система уязвима, и уязвимость – измеряемая величина. Имея неограниченный ресурс в деньгах и времени, любую систему можно взломать. Полностью избежать утечек в принципе невозможно, как и защититься от инсайдеров», – заметил он.

В защиту бизнеса от возможных xересчур жестоких санкций высказалась и Наталья Касперская: «Мы смотрим с точки зрения производителей софта и оператора персональных данных. На наш взгляд, когда принимается закон об оборотных штрафах, – как минимум должно учитываться то, насколько организация постаралась себя защитить. Мы двадцать лет занимаемся защитой от утечек и прекрасно понимаем, что гарантировать отсутствие утечек невозможно. В любой информационной системе есть уязвимые звенья: прежде всего – сотрудник с высоким уровнем доступа, который может какие-то данные похищать и куда-то передавать. И от этого гарантированно защититься нельзя. А сейчас законодателями диктуется некая «презумпция виновности»: если у тебя случился инцидент, значит, ты виноват. Но проблема в том, что не всегда понятно, когда произошла утечка, а когда нет».

Одним из главных достижений BIS Summit-2023 руководитель InfoWatch в интервью SPbIT.ru указывает начало долгожданного общения между регуляторами и бизнесом: «Представители ФСТЭК и Роскомнадзора заявили о необходимости соблюдать некий баланс, выстраивать диалог. Очень хорошо, что этот диалог начался», – рассказала она.

Заметим, что и Александр Хинштейн упомянул о том, что депутаты приветствуют максимально открытое обсуждение законопроекта об ужесточении ответственности за утечки, поскольку тема является общественно значимой.