Штрафы и инвестиции в борьбе за данные

В условиях стремительного роста цифровизации и аккумуляции данных защита персональной информации становится ключевой задачей для государства, бизнеса и граждан. На сессии «Защита персональных данных – задачу ставит общество» конференции «Гарда: сохранить все. Безопасность информации», эксперты обсудили, как законодательство, технологии и культура безопасности помогают противостоять угрозам, связанным с персональными данными.

Как государство стимулирует бизнес к защите данных

Министр цифрового развития, связи и массовых коммуникаций Российской Федерации Максут Шадаев отметил, что в условиях роста угроз кибербезопасности государство активно стимулирует бизнес инвестировать в защиту персональных данных. «Серьезные утечки персональных данных пытаются отвечать деньгами, и эти деньги будут достаточно серьезные. Верхняя сумма штрафа зафиксирована на уровне 500 миллионов рублей», — подчеркнул Шадаев в ходе конференции «Гарда: сохранить все. Безопасность информации» 16 октября в Москве. Однако, по его словам, ключевым достижением стало введение механизма смягчения наказания для бизнеса, который инвестирует в кибербезопасность.

«Если бизнес направляет ежегодно определенную сумму на безопасность и кибербезопасность, то применяется нижняя граница штрафов. Наша задача была не начать наказывать тех, кто хранит данные плохо, а заставить бизнес инвестировать в защиту», — пояснил министр.

По данным Роскомнадзора, в прошлом году зафиксировано около 135 крупных утечек персональных данных. В текущем году ситуация улучшилась: количество утечек снизилось до 65 на октябрь, а расходы компаний на кибербезопасность продолжают расти. «Я очень надеюсь, что в этом году их будет сильно меньше, чем в прошлом. Мне кажется, цель достигнута», — заявил Шадаев.

Он также сказал, что государство готовит новые законодательные инициативы, включая платформу согласий. «Она предусматривает, что все, кто собирает согласия, будут обязаны уведомлять пользователя на госуслугу о том, что у него есть такие согласия, указывать, сколько данных собирается, и гарантировать удаление данных, если пользователь отзывает согласие», — пояснил министр.

Вице-президент группы компаний «Гарда» (входит в Икс холдинг) Борис Мирошников подчеркнул, что персональные данные стали основой для будущих преступлений. «На этой базе строится огромное количество преступлений, как внутри страны, так и за рубежом», — отметил он. Мирошников задал вопрос министру Шадаеву: планируются ли дополнительные меры для ограничения сбора и использования данных? Шадаев пояснил, что государство готовит новые законодательные инициативы, включая платформу согласий. «Она предусматривает, что все, кто собирает согласия, будут обязаны уведомлять пользователя на госуслугу о том, что у него есть такие согласия, указывать, сколько данных собирается, и гарантировать удаление данных, если пользователь отзывает согласие», — пояснил министр.

Как защитить данные в эпоху больших объемов

Генеральный директор ИКС Холдинг Алексей Шелобков подчеркнул, что в условиях роста объемов данных ключевым становится переход к дата-центричности. «Данные — это либо источник ценнейшего знания для компании, либо возможность для злоумышленников строить свои негативные действия. Поэтому защита должна строиться вокруг того, какие данные нужно идеально защищать», — заявил Шелобков.

Он также отметил, что в условиях отсутствия четкого IT-периметра компании должны переходить к абсолютной дата-центричности. «Мы должны задуматься о том, где хранятся данные, не множить их постоянно, а аккуратно передавать, в идеале — передавать не сами данные, а ссылки на них», — подчеркнул Шелобков.

Первый заместитель председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин подчеркнул, что человеческий фактор остается одним из ключевых рисков в защите персональных данных. «Мы строим крепости из защиты данных, но забываем учить людей, которые живут в этих крепостях, не открывать ворота фишинговым сайтам», — заявил Шейкин.

Сенатор Совета Федерации РФ отметил, что цифровые платформы или технологические компании обладают практически всей информацией о пользователях, в то время как сами граждане не знают, каким образом их данные будут использованы. «Мы почти не говорим о том, для чего эти данные собирают, для чего и как их используют», — заметил он, пояснив, что «алгоритмы на основе больших данных превращают информацию в инструменты управления поведением». «Данные — это не просто инструменты, это системы управления поведением», — подчеркнул сенатор.

Он предложил сделать следующим приоритетом масштабную государственную программу по развитию цифровой культуры и запуск широкой общественной дискуссии с участием психологов, юристов, политологов и философов. «Без этого любые технологические достижения могут обратиться против нас», — подчеркнул Шейкин.

Банки и почта: как защищают данные в условиях ограниченных ресурсов

Заместитель начальника Управления по обеспечению информационной безопасности ВТБ Сергей Пазизин отметил, что банки выделяют значительные средства на защиту данных, но при этом сталкиваются с проблемами импортозамещения. «Мы выполняем нормативы не только из-за штрафов, но и потому, что репутация и безопасность клиентов дороже. Однако проблема в том, что не всегда отечественные средства защиты соответствуют нашим требованиям», — заявил Пазизин.

Директор департамента информационной безопасности «Почта России» Роман Шапиро подчеркнул, что в условиях ограниченных ресурсов почта вынуждена искать уникальные решения. «Мы не можем позволить себе сохранить все, поэтому выбираем приоритетные задачи. Наши клиенты должны получить свои отправления, и мы делаем все возможное, чтобы обеспечить их безопасность», — отметил Шапиро.

Шапиро также отметил, что почта активно сотрудничает с другими компаниями для обмена опытом и данными. «Мы заключили соглашение с «Лабораторией Касперского», «Ростелеком», «Соларом» и другими компаниями для обмена опытом и передачи данных, которые мы формируем в рамках реализации крупных проектов», — рассказал он.

Сергей Пазизин рассказал, что импортозамещение остается одной из ключевых проблем для российских компаний. «Мы вынуждены выкраивать средства на информационную безопасность, так как не всегда отечественные средства защиты соответствуют нашим требованиям. Это особенно актуально для крупных компаний, которые работают в условиях ограниченного бюджета», — заявил Пазизин.

Алексей Шелобков добавил, что для развития отечественного рынка информационной безопасности важно формирование лидеров, которые смогут конкурировать на международном уровне. «Нам нужно, чтобы наши компании выходили на международный рынок и набирали опыт. Только так мы сможем обеспечить высокий уровень защиты данных», — подчеркнул Шелобков.

Роман Шапиро отметил, что в почте активно работают над повышением уровня осведомленности сотрудников и клиентов. «Мы проводим обучение, разрабатываем специальные комплекты документов для сотрудников, но человеческий фактор остается слабым звеном. Люди всегда найдут способ нарушить инструкции, поэтому мы ориентируемся на минимизацию полномочий», — заявил Шапиро.

Артем Шейкин подчеркнул, что без системного просвещения населения любые технологические достижения бесполезны. «Мы должны учить людей, как защищать свои данные, иначе все наши крепости бесполезны», — заключил Шейкин.

Фото: PRO Шеринг, оргкомитет конференции «Гарда»