21 февраля 2023 г.
Возможен запрет удаленной работы для сотрудников ИТ-компаний, которые имеют отношение к персональным данным россиян, а также к государственным информационным системам (ГИС) и объектам критической информационной инфраструктуры (объекты КИИ), сообщает Interfax. Это лишь часть из свежих событий, иллюстрирующих рост внимания к со стороны государства к защите персональных данных россиян.
Акцент на персональных данных, который прослеживается несколько сезонов, оказывает существенное влияние на тренды рынка инфобезопасности, как отметил Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies. Уже реализован ряд законодательных инициатив, в частности, новые требования Федерального закона № 152, вступившие в силу с 1 сентября 2022 года и обязывающие компании в течение суток уведомлять ФСБ и Роскомнадзор о произошедших утечках персональных данных.
Как выглядит ситуация с персданными на фоне национального ИТ-рельефа?
Утечки персональных данных: проблемы и для «С», и для «В»
Количество преступлений, связанных с попаданием персданных «не в те руки», огромно. Дополнительная информация о потенциальных жертвах позволяет злоумышленникам совершенствовать схемы атак с использованием социальной инженерии и увеличивать эффективность преступной деятельности. Из-за распространения готовых комплектов для проведения массовых атак и «сервисного» подхода для организации Malware-as-a-Service значительно увеличится активность злоумышленников в отношении частных лиц, особенно клиентов онлайн-банков и других онлайн-сервисов, отмечают в Positive Technologies.
Данные статистики подтверждают теорию: только фактов дистанционного мошенничества за 2022 год в столице было выявлено 43 000, заявил полковник Владимир Васенин, начальник Управления информации и общественных связей ГУ МВД России по г. Москве, выступая на круглом столе «Профилактика дистанционных преступлений», проведенном Ассоциацией менеджеров. Это огромная цифра! Заметим, в позапрошлом году количество преступлений такого типа было зарегистрировано на 7000 меньше. Однако, как отметил Игорь Шульга, директор департамента предотвращения транзакционного мошенничества в «МТС Банк», выступавший на мероприятии Ассоциации, хотя количество таких преступлений уменьшается, вырос «средний чек» добычи киберпреступников в результате этих активностей по итогам прошлого года. А ведь существуют и другие виды киберпреступлений, связанных с персданными.
Реализация хакерами преступных намерений создает приносит убытки как гражданам, так и организациям, подчеркнул в своем выступлении Антон Запольский, руководитель управления по связям с общественностью «Совкомбанка». Например, средства, похищенные киберпреступниками, уходят с банковских счетов и более не приносят прибыли банку, клиенты теряют доверие к бренду, растет риск проблем юридического характера и т. д. Кроме того, за утечку персональных данных предусмотрены серьезные штрафы. Сейчас в Кодексе Российской Федерации об административных правонарушениях по направлению персональных данных предусмотрено более 12 видов штрафов, размер которых может достигать 18 млн рублей.
Согласно закону, к персональным данным относится широкий спектр информации. Про фамилию-имя-отчество, год рождения, серии с номером паспорта в этом плане помнят все, но сюда же относится и многое другое: от адресов регистрации/проживания до номера личного телефона и от реквизитов банковских счетов до адреса электронной почты. Утечка персональных данных потенциально опасна, они нужны киберпреступникам для фишинга, проведения целевых атак, вымогательства и т .д., а также их используют в офлайновых преступных активностях разных форматов.
Важность аккуратного отношения к персональным данным на всех уровнях подчеркнул Вадим Ковалев, член Общественной палаты РФ. Россияне постепенно осознают важность сохранности персданных. Во многом это происходит стараниями бизнеса, например, «Авито» привлекла певца Леонида Агутина как лицо кампании по кибергигиене, которая включает обучение бережному отношению к персданным, напомнил Андрей Рыбинцев, директор департамента доверия и безопасности компании. Охват аудитории данного мероприятия составил 41,3 млн россиян.
Повышение цифровой грамотности актуально и для бизнес-пользователей. «Кибермошенникам стало гораздо проще использовать ошибки или неосведомлённость простых пользователей, чем взламывать сложные системы защиты, — говорит Татьяна Шумайлова, эксперт направления повышения цифровой грамотности в Kaspersky Security Awareness. — Поэтому обучение сотрудников навыкам кибергигиены, отработка и доведение этих навыков до автоматизма поможет значительно сократить возможные потери от инцидентов».
Вместо заключения
Корпоративный сегмент активно использует персональные данные. Информация о клиентах и их активностях нужна для работы CRM, а также программ лояльности, биллинговых систем, рекомендательных сервисов и т. д. Накопленные данные необходимо защищать.
Российские корпоративные пользователи далеко не всегда относились к этим вопросам с должной серьезностью, но сейчас положительные подвижки есть. Например, согласно результатам исследования, проведенного компаниями «Б-152», RPPA и «Актион Право», в 2022 году российские компании стали серьезнее и тщательнее относиться к хранению персданных. Например, по итогам 2022 года существенно чаще нанимать профильных специалистов: если ответственный за организацию обработки персданных в 2021 году был у 25% корпоративных заказчиков, то по итогам 2022 — у 44%! В тройку лидеров по наличию в штате специалистов по защите персональных данных входят компании из сегментов ИТ, медиа и телеком.
В ближайшее время ситуация продолжит развитие. Количество утечек персональных данных растет. Статистика за прошлый год тревожная, как отметила Ирина Рукавишникова, первый замглавы Комитета Совета Федерации по конституционному законодательству и государственному строительству. Тренды будут продолжены и в этом году, что потребует дополнительных действий со стороны государства.
Ряд правительственных инициатив, имеющих отношение к персональным данным, будет рассмотрен в весеннюю сессию Госдумы РФ, в частности, как отметил г-н Лукацкий, речь идет об оборотных штрафах за утечки персональных данных и уголовном преследовании за их незаконный оборот. «Рост числа утечек, с одной стороны, и оборотные штрафы, с другой, вероятно, заставят российские предприятия задуматься о пересмотре своей архитектуры защиты данных, а также о выстраивании процесса управления инцидентами для своевременного уведомления о них, — комментирует Алексей Лукацкий. — Требование об уведомлении в течение 24 часов, независимо от праздников и выходных — это серьезный вызов даже компаний, имеющих опыт в управлении кибербезопасностью».
Действия компаний, направленные на охрану персданных и минимизацию соответствующих рисков, следует трактовать широко, они охватывают разные области. Об этом мы поговорим позже, рассмотрев более подробно ситуацию на вертикальном рынке здравоохранения.
Окончание следует
Источник: Александр Маляревский, внештатный обозреватель IT Channel News