У каждого времени свое любимое слово. Наше войдет в историю «цифровизацией». Но в плане безопасности мы к ней еще совсем не готовы — ни государство, ни компании, ни каждый из нас лично.
Одна из ключевых проблем — сохранность персональных данных. В эпоху цифровизации они накапливаются в критических объемах. Контроль над ними уже практически упущен, при этом появляются инициативы, которые могут усугубить ситуацию. Например, если одни компании получат право передавать собранные персональные данные другим. Внесение такого предложения в правительственную рабочую группу по нормативному регулированию цифровой экономики обсуждается на уровне бизнес-сообщества и фонда «Сколково».
Мониторинг даркнета показывает, что в информационной безопасности корпораций и так полно дыр. Темный интернет полон актуальных баз страховых компаний и банков, сканов паспортов, мобильных телефонов. Здесь можно заказать услугу «пробивания» по базам любых реестров, это стоит недорого. Если вы пользуетесь интернетом, все ваши особенности поведения, отношения (в том числе с близкими людьми), пристрастия (в том числе интимные), состояние здоровья собираются в цифровую копию личности.
Сбор данных изначально осуществляется на законных основаниях, но сохранность, по сути, не обеспечивается. Кто-то выдает информацию в многочисленные базы в даркнете, и эти люди не хакеры, а персонал компаний. Обычный сотрудник банка или отеля имеет доступ к тысячам сканированных паспортов, и для мошенничества с ними не нужно быть компьютерным гением. Если даже в больших корпорациях находятся пробелы, что говорить про малый бизнес, у которого совсем нет бюджетов на защиту данных.
Ситуация изменится, только когда появится реальный и массовый, а не гипотетический ущерб для компаний и организаций. Как в истории с British Airways. Из-за утечки с сайта авиакомпании почти 400 тыс. пассажиров пришлось идти в банк, чтобы перевыпустить карточки, данные которых были скомпрометированы. Акции компании упали, подмочена репутация, появился риск громадного штрафа.
Правда, в нашей стране подобная ситуация пока маловероятна, потому что компании о таких инцидентах не распространяются. 86% из них, согласно нашему исследованию, скрывают подобную информацию и не оповещают пользователей. Правоохранители не могут расследовать такие дела, в их штате нет профессиональных экспертов по информационной безопасности.
Зарубежные компании к ответственному поведению мотивирует новый регламент, где зафиксированы правила работы с персональными данными в Европейском союзе — GDPR. Согласно ему, упомянутой British Aiways может грозить штраф до $650 млн! В этом плане российский ФЗ-152 предполагает мягкое наказание и слабо исполняется. Нарушить закон для компаний и организаций почти ничего не стоит.
Хотя сам по себе он нравится мне больше европейского GDPR. Он лучше описывает, что считать критичной персональной информацией и в общем-то не делает различий между цифровой или бумажной формой. В то время как GDPR пытается регулировать исключительно цифровое пространство.
Но первый шаг вперед на государственном уровне сделан — 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который описывает требования к защите важных объектов — от здравоохранения до ядерной инфраструктуры.
Это реально повлияет на безопасность систем, в том числе сохранности данных — появляется централизация (раньше требования были отраслевые) и экспертиза. Консультируют эксперты отрасли, что приближает закон к жизни. Проблемы реализации существуют. Требования к технической стороне иногда противоречивые: что-то определено широко, что-то, наоборот, косно. Но начало положено.
Следующий шаг за корпоративным сектором, который должен принять ответственность за собранную информацию. В большинстве компаний нет даже регламентов, как нужно обрабатывать и хранить данные о клиентах.
Разработчиков программного обеспечения, сервисов и любых умных устройств я тоже призываю взять на себя часть ответственности. Можно сколь угодно долго рассуждать о сознательности пользователя. Но, думаю, сервисам пора прекратить думать только о том, как обезопасить себя, вовремя меняя пользовательское соглашение. Они должны принять тот факт, что в мире, где объем информации увеличивается по экспоненте, им, как операторам критичных данных, нужно быть старшим партнером в отношениях с пользователями.
