Грань между приоритетами государства и интересами бизнеса в сфере персональных данных порой тонка. Для бизнеса это – «новая нефть», однако важна и защита интересов граждан.
По оценкам экспертов рынка информационной безопасности, только за 2022 год количество утечек в финансовом секторе выросло 1,7 раз, в том время как объем похищенных данных увеличился сразу в 32 раза. При этом антилидерами по числу взломов и сливов остаются ритейл и массовые пользовательские сервисы.
«Например, недавний инцидент с клиентскими базами "Литрес", в которых, по заявлению компании, "не содержалась платежная информация", - напоминает руководитель отдела консалтинга и аудита Angara Security Александр Хонин. - В последнее время эти случаи стали предсказуемыми, вызывая вопрос, "кто следующий". При этом очевидно, что ценность конкретной базы невысока, так как данные из ранее взломанных массивов взаимно обогащаются и обновляются за счет новых "сливов"».
Тем не менее, для бизнеса факт утечек персональных данных приводит к штрафам, правда, пока довольно незаметным в рамках деятельности компаний, а также к репутационным потерям. «При этом данные – это необходимый источник информации для анализа пользовательского поведения, разработки новых сервисов и услуг», - поясняет он.
Поэтому возникает закономерный вопрос: как в этом случае найти баланс между интересами государства, которое обязано обеспечить защиту интересов граждан, и бизнесом, для которого данные – это «новая нефть»?
Даже специалисты по информационной безопасности говорят, что невозможно обеспечить 100%-ю защиту персональных данных ни со стороны государства, ни со стороны бизнеса. Всегда есть остаточный риск, вызванный человеческим фактором. Поэтому основной целью является минимизация последствий инцидентов, а в случае его возникновения – быстрая локализация и реагирование.
В Angara Security считают, что важным драйвером для защиты персональных данных в контуре компаний могут стать оборотные штрафы. По предложению законодателей, размер штрафов будет от 15 до 500 млн рублей в зависимости от масштаба утечки, объемов бизнеса компании и повторяемости инцидентов.
При этом снова под ударом оказываются крупнейшие игроки, управляющие миллионами пользовательских данных – ритейл, массовые сервисы, социальные сети, финтех, банковский и страховой сектор. «С одной стороны, позиция государства в отношении оборотных штрафов выглядит достаточно жесткой. С другой, ситуация с системными утечками персональных данных развивалась уже несколько лет, поэтому многие из крупных компаний воспользовались временным лагом и начали инвестировать в инфраструктуру для защиты данных своих клиентов» – рассуждает Александр Хонин. По его оценкам, в среднем, затраты на полноценную систему информационной безопасности, которая способна предотвратить большую часть взломов, в 4-5 раз дешевле потенциальных сумм новых оборотных штрафов.
В 2022 году российские суды выписали по искам Роскомнадзора штрафы на более чем 50 млн рублей за нарушения при работе с персональными данными.
Некоторые компании считают, что снизить ущерб при оборотных штрафах поможет страхование рисков. Однако, считают эксперты по кибербезопасности, страхование рисков стоит рассматривать в комплексе с собственной системой кибербезопасности, которая работает на постоянной основе, регулярно проходит проверку на прочность в контролируемых условиях.
Иногда обезличивание рассматривается как один из способов защиты информации при продаж или покупке данных. Это легальный формат передачи данных о физических лицах, но в этом случае они должны быть анонимизированы, т.е. необходимо исключить любую информацию, которая «прямо или косвенно относится к определенному или определяемому физическому лицу». «При этом, после покупки на сайте ритейлера бытовой техники и электроники, мы регулярно получаем сообщения о бонусах от партнера этого магазина. Поэтому возникает вопрос: использует ли бизнес деперсонализацию так, как того требует буква закона?» - говорит Александр Хонин.
По его мнению, основной минус деперсонализации заключается в том, что крайне сложно «сшить» данные, полученные из разных источников. Более того, в результате ряд ценных данных оказывается непригодным для дальнейшего анализа. И эта проблема касается не только ритейла, массовых сервисов, но социально-значимых направлений, например, медицины.
«Известен прецедент, когда российские медики много лет накапливали данные рентгенографии легких, которые оказались бесполезны. Данные были анонимизированы, согласно закону, но, как оказалось, стали непригодны для ряда форм анализов: например, не было никакой возможности понять, как развивалась ситуация в дальнейшем – какой диагноз был поставлен, какое лечение проведено, как изменялась клиническая картина при последующих диагностиках и т.д. – перечисляет Александр Хонин. - Несмотря на полное соответствие требованиям федеральных законов № 152-ФЗ и № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", строгое следование "букве" исключило возможность использовать информацию даже в научно-исследовательских целях».
Поэтому, делают вывод эксперты, баланс между интересами государства и бизнеса скорее лежит в большей ответственности операторов персональных данных за сбор, хранение, оборот персональных данных, которые будут защищать как интересы общества, так и способствовать развитию новых сервисов, продуктов, технологий на основе big data. «На фоне иностранных государств, которые также последовательно ужесточают регуляторику, действия российского правительства соответствуют действительности и призваны навести порядок в сфере оборота информации о каждом из нас», - уверен представитель Angara Security.
Фото: Unsplash.com