Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Число известных утечек персональных данных в России и мире за последние пять лет имеет хоть и синхронную, но разнонаправленную динамику. Если не считать кризисный 2022 год, наибольшее их число произошло в 2019-м. Ситуацию и методы борьбы с утечками на очередном BIS Summit 21 сентября 2023 года обсудили представители регуляторов и законодательной власти
Согласно статистике, которую привела модератор, президент ГК InfoWatch, председатель правления АРПП «Отечественный софт», Наталья Касперская, число известных утечек в России в 2022 году увеличилось более чем в два раза, по миру же этот показатель вырос втрое. Количество утекших записей в 2022 году составило больше 20 млрд. Между тем число известных утечек в первом полугодии 2023 года в России снизилось на 17% относительно того же периода предыдущего года, хотя общемировая тенденция осталась растущей. Наталья Касперская также отметила любопытный факт: если в России по-прежнему преимущественно утекают персональные данные, то характер мировых утечек изменился — теперь злоумышленников больше стали интересовать коммерческая тайна и ноу-хау. «У меня есть на этот счет предположение: возможно, в России утечки гостайны и всякой другой тайны просто не становятся известными. О них не сообщается, потому что нет требования законодательства по публикации этих утечек», — поделилась своими мыслями глава InfoWatch.
Источник: Аналитический центр InfoWatch, 2023 год
Желая обострить дискуссию, Наталья Касперская объяснила снижение интереса к персональным данным в стране тем, что утекло уже почти все. С ней не согласился заместитель руководителя Роскомнадзора Милош Вагнер, который сослался на то, что многие присутствующие в зале руководители ИБ скажут, что в их компаниях ничего не утекало, поэтому «потенциал есть». «По нашим наблюдениям, утекает, как правило, идентификационная информация, иногда транзакционные данные, но в любом случае каждая новая информация обогащает уже существующую базу знаний о человеке», — заявил представитель Роскомнадзора. По его информации, новые данные способны дополнить цифровой профиль человека настолько, что на основе анализа и сопоставления небиометрических данных можно улучшить качество биометрических шаблонов и степень верификации.
Милош Вагнер (Роскомнадзор) и Наталья Касперская (Infowatch). Фото: BISA
Александр Шойтов, замминистра Минцифры, обратил внимание собравшихся на то, что помимо привычных злоумышленников появились еще и политические интересанты, которые часто одну и ту же утечку упоминают как новую в целях дестабилизации обстановки. «Мы сталкиваемся с тем, что на самом деле новой утечки не происходит, а просто из-за утечки, которая когда-то была, создается некий повод в СМИ», — резюмировал замминистра.
На вопрос о причине снижения зафиксированных утечек данных нашелся ответ и у Виталия Лютикова, заместителя директора ФСТЭК России. По его мнению, с одной стороны, в целом происходит адаптация системы безопасности, а с другой — обесцениванием утечек занимаются операторы персональных данных, которые скрывают такие факты. «Мы должны бороться с обесцениванием. Мы все говорим о повышении ответственности, но это пока разговоры, а нужно предпринимать действия», — высказался Виталий Лютиков и предложил выделять в общем массиве информации те персональные данные, утечка которых действительно может нанести ущерб.
Тему ответственности продолжил Александр Хинштейн, депутат Госдумы, который напомнил, что по сегодняшним законам за утечку данных максимальный штраф составляет 100 тыс. рублей. «Такие смехотворные штрафы не способствуют активизации и бизнеса, и других организаций с точки зрения обеспечения информационной безопасности. Не говоря о том, что сегодня сам механизм проведения проверок крайне затрудненный. Нам пришлось потратить много времени, для того чтобы правительство сняло мораторий на проверки по утечкам персональных данных, и то снятие это произошло не в полном составе», — посетовал депутат и выразил надежду что на осенней сессии будет принят новый проект поправок в Кодекс административных правонарушений, который будет предусматривать более серьезную ответственность: штрафы в случае повторности будут привязываться к обороту компании и смогут достигать 500 млн рублей. При этом Александр Хинштейн отметил, что возможны и смягчающие («но не реабилитирующие») обстоятельства, и привел пример со страхового рынка, когда страховка не выплачивается, если автовладелец оставил машину открытой со вставленным ключом. «Нам необходимо добиться (и простимулировать) вложений в информационную безопасность», — резюмировал депутат.
Мы сталкиваемся с тем, что на самом деле новой утечки не происходит, а просто из-за утечки, которая когда-то была, создается некий повод в СМИ
Как после принятия поправок, ужесточающих ответственность, не попадаться на максимальные штрафы с формулировкой «повторность» пояснил Милош Вагнер. Он рекомендовал сразу уведомлять об утечках в полном объеме, а не только по тем данным, которые были опубликованы хакерами, потому что, когда в сеть сольют второй дамп предыдущей утечки, доказать, что она не повторная, будет сложнее. Спикер также отметил, что специализированным сервисом на сайте Роскомнадзора операторы персональных данных стали пользоваться в 80% случаев, а в 20% им пока приходится напоминать.
Александр Хинштейн, в свою очередь, для этих 20% рисует не самую радужную картину, поскольку факты утечки рано или поздно всплывут, и тогда их сокрытие станет отягчающим обстоятельством. «Будут наказывать и за утечку, и за несоблюдение обязанностей уведомить оператора», — пояснил депутат.
Но в большей степени представителя Госдумы беспокоит тот факт, что оператором персональных данных может быть как магазин, выдающий скидочные карты, так и гостиница, заселяющая постояльцев, и любой индивидуальный предприниматель, принимающий на работу сотрудников: «Мы с вами каждый день, каждую неделю там и здесь даем согласие, не понимая, как эти данные будут сохраняться. Поэтому нужно подумать об институте профессиональных операторов персональных данных». Такая организация должна нести ответственность и предоставлять ровно ту информацию, которая нужна в данный момент.
Спикеры обсудили ответственность не только операторов персональных данных, но и нечистых на руку сотрудников. Забегая вперед, скажем, что ответственность понесут все. Александр Хинштейн привел в пример кейс с утечкой данных из Почты России. Тогда СМИ писали о 10 млн скомпрометированных записей. И все это, как впоследствии выяснилось, произошло из-за того, что сотрудники длительное время не меняли пароль. В этом случае виноваты и организация, и ответственные за периодическую смену пароля работники, и сам злоумышленник. «Каждый должен нести свой чемоданчик», — заключил депутат.
Перенасыщенная информационно-маркетинговая среда вынуждает банкиров использовать дофаминовые стимулы для вовлечения клиентов в регулярный контакт с банком и повышения покупательской активности. Попытаемся осмыслить, оправдана ли такая ставка — с точки зрения не только этики, но и бизнеса, нацеленного на выстраивание долгосрочных лояльных отношений с клиентами
По приглашению инициаторов эксперты АОИП присоединились к рабочей группе создания в городе Анжеро-Судженске Кемеровской области Аллеи героев-авиаторов. Проект предполагается реализовать на средства, собранные через высокотехнологичную краудфандинговую онлайн-платформу