О защите персональных данных говорят сегодня всюду. С одной стороны, компании начинают осознавать, что утечка данных негативно отражается на их репутации, с другой - приближается момент, когда «петух клюнуть может». Федеральный закон «О персональных данны

Вряд ли кто-то будет отрицать, что в последние несколько месяцев вопросы защиты персональных данных стали едва ли не самыми актуальными в области информационной безопасности. Актуальность этой темы объясняется несколькими причинами.

Во-первых, ни для кого не секрет, что персональные данные входят в число важнейших информационных активов компаний, хотя и не являются коммерческой тайной. Их утечка становится, мягко говоря, неприятностью как для владельцев, так и для тех, кто ее допустил. Конечно, такой новый вид преступления, как кража личности, в России еще не получил столь широкого распространения, как, например, в США. Однако и в нашей стране действует большое количество мошенников и аферистов, которые умело пользуются имеющимися сведениями о гражданах. Плюс достаточно широкое распространение потребительского кредитования (в докризисные времена) на упрощенных условиях. Все это может привести как к финансовым потерям для пострадавших людей, так и к банальной трате времени на разбирательства. Ну а что до компаний, в настоящий момент в России наиболее актуален репутационный ущерб. Штрафовать за утечки у нас еще не начали.

Во-вторых, операторами персональных данных являются буквально все организации. Просто у кого-то этих сведений больше, у кого-то — меньше. Одни компании хранят записи о нескольких миллионах клиентов, другие — о тысячах партнеров, а третьи — всего лишь о нескольких десятках сотрудников. Тем не менее федеральный закон «О персональных данных» касается их всех.

В-третьих, как мы уже упомянули выше, нельзя забывать о законодательстве. Да, закон «О персональных данных», которому скоро уже два года с момента вступления в силу, пока еще «не работает», как признают и операторы, и регуляторы. Однако те же регуляторы, наконец-то, озаботились вопросом «почему не работает закон?» и предпринимают конкретные меры, чтобы закон стал действенным.

Одна из таких мер — создание реестра операторов персональных данных. (Хотя стоит отметить невысокий темп заполнения данного реестра.) За год с момента подписания приказа «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных», то есть с 28 марта 2008 года по 28 марта 2009 года, в реестр было занесено примерно 42 тыс. операторов. Если и дальше процесс будет идти с такой скоростью, то для записи тех миллионов реальных операторов, о которых говорят регуляторы, понадобится еще как минимум сто лет! Виноват ли в таком положении орган, на который возложена ответственность за ведение реестра (Роскомнадзор)? Отчасти. Виноваты ли сами операторы? Определенно. Но искать виноватых — последнее дело. Гораздо важнее придумать, как выкрутиться из ситуации. Ведь составление и ведение такого перечня — действительно нетривиальная задача. Задача, решение которой нужно искать и в области ИТ, ведь именно ИТ в состоянии обеспечить автоматизацию процесса и довести темпы наполнения реестра до приемлемых значений. Помочь решить проблему могут и организационные мероприятия. Например, возможность операторам самим вносить себя в реестр. Конечно, здесь встретится немало трудностей. В частности, заявка должна быть корректной. И тем же ИТ-системам придется ее проверять. И хотя объявлять о тендере на создание ИТ-систем для автоматизации процесса наполнения и ведения реестра операторов персональных данных пока преждевременно, такую возможность не стоит сбрасывать со счетов. Кусок лакомый — можно не сомневаться, что вендоры подтянутся.

Готов? Всегда готов!

С 1 января 2010 года федеральный закон «О персональных данных» перейдет из статуса «для ознакомления» в статус обязательного к исполнению. Что произойдет по прошествии этого года? Процитируем закон: «Информационные системы персональных данных, созданные до дня вступления в силу настоящего федерального закона, должны быть приведены в соответствие с требованиями настоящего федерального закона не позднее 1 января 2010 года». Сколько компаний успеет усовершенствовать свои информационные системы? Только пятая часть (20,3%) участников исследования «Персональные данные в России 2008» уверена, что их компании выполняют все требования закона (см. рис. 1). Даже такую скромную долю можно считать достижением. Большинство компаний вообще не могут понять, как эти требования выполнять и что конкретно имеется в виду.

Рис. 1. Соответствие требованиям Федерального закона «О персональных данных»

Осенью 2008 года только 20% компаний чувствовали себя относительно уверенно. Между тем сам закон «О персональных данных» был принят еще в середине 2006 года. Процесс модернизации информационных систем — дело отнюдь не минутное. Необходимо будет не только развернуть необходимые средства обеспечения безопасности, но и реформировать всю ИТ-инфраструктуру. Может потребоваться изменение и основных бизнес-процессов организаций. Все это вместе потребует титанического труда и немалых финансовых расходов. Именно поэтому отведено три с половиной года на подготовку и реорганизацию информационных систем. К настоящему времени 20% компаний сумели подготовиться, но возникает вопрос, успеют ли за оставшиеся 1,5 года подготовиться и остальные 80% организаций?

Разумеется, никакой контрольный орган не сможет обойти офисы всех нарушителей, проверить их системы, в которых обрабатываются персональные данные, и наложить взыскание. Гораздо реальнее опасность злоупотреблений. Придраться можно практически к любой компании. Ну, может быть, за исключением тех самых 20,3%.

Почему персональные данные не защищены?

Ответ на поставленный вопрос предельно прост: «потому что никто их не защитил». Персональные данные — та же информация, тот же ценный ресурс организации, что и ее коммерческие или маркетинговые планы. Даже без оглядки на законы и нормативы можно представить, как их нужно защищать. Так что же лучше защищено в российских компаниях — персональные данные или коммерческая тайна?

Оказывается, защищены они примерно одинаково (см. рис. 2). Одинаково слабо. На это указывают и результаты другого исследования Perimetrix — «Инсайдерские угрозы в России 2008». Проникновение таких средств, как системы защиты от утечек (24%) и решения для шифрования данных (36%), находится на крайне низком уровне. Другие же решения по безопасности занимаются защитой исключительно от внешних вторжений и потому не могут ничего поделать с более опасными внутренними угрозами. Строго говоря, защита персональных данных для компаний может быть задачей даже более важной, нежели защита коммерческой тайны. Представить организацию, не имеющую коммерческой тайны, еще можно. А вот операторами персональных данных являются все компании поголовно.

Рис. 2. Защищенность персональных данных в сравнении с защищенностью сведений, составляющих коммерческую тайну

Угрозы снаружи и внутри

Практика показывает, что наибольшую угрозу как для корпоративных конфиденциальных сведений, так и для персональных данных представляют собственные сотрудники. И чем больше работников имеют доступ к информации (см. рис. 3), тем выше риск ее утечки. Впрочем, доступ доступу рознь. Если мы говорим о возможности утечки персональных данных, то подразумеваются прежде всего информационные массивы, а не отдельные записи. Поштучно такие записи тоже можно выкрасть, но масштаб такой утечки будет минимальным. Базу заемщиков крупного банка таким образом точно не вынесешь.

Рис. 3. Кто имеет доступ к массивам персональных данных внутри компаний

Несмотря на то, что в теории доступ к массивам персональных данных должны иметь лишь сотрудники службы информационной безопасности, на деле ситуация совершенно иная. В большинстве компаний доступ имеют не только в подразделении ИБ, но и в службе ИТ. Высокая численность ИТ-персонала повышает и риски утечки информации. Можно понять, что ИТ-специалисты должны обслуживать эти базы данных — хотя бы делать резервные копии. Но хранить информацию в таком случае следует в зашифрованном виде. Если необходимость доступа к информационным массивам со стороны ИТ-персонала можно как-то доказать, то возможность работы с базами персональных данных других категорий работников вызывает удивление.

Часто (в 21,9% компаний) доступ предоставляется топ-менеджерам, действия которых обычно отличаются повышенным уровнем халатности. Руководители организаций отказываются понимать и принимать такое положение дел, когда они не имеют доступ к какой-либо информации. И совершенно не важно, что информация эта руководителю в принципе не нужна. Очень немногие ИТ- и ИБ-специалисты готовы идти на конфликт, но отстаивать требования политик безопасности. Гораздо проще удовлетворить требование босса и обеспечить ему полный доступ.

Вслед за менеджментом по частоте обращений к массивам персональных данных (18,5%) идут аналитики. Тоже несколько странный факт, учитывая, что для большинства задач будет достаточно обезличенных статистических выборок. Еще один канал утечек персональных данных — это партнеры либо родственные структуры, которые также получают легальный доступ к информации. По данным Ponemon Institute, до 40% инцидентов возникает по вине недобросовестных партнеров либо аутсорсинговых компаний. Очень часто носители с информацией теряют транспортные компании.И хотя в России об аутсорсинге больше говорят, чем используют на практике, проблема не теряет остроты и в нашей стране. Всего около двух третей компаний (64,3%) имеют монопольный доступ к персональным данным. Остальные предоставляют информацию материнским либо дочерним структурам (24,7%), а также партнерам (11,1% организаций).

Обмен персональными данными с зарубежными компаниями увеличивает и правовые риски. По закону «О персональных данных» трансграничная передача данных возможна только с письменного согласия владельцев информации. А получить такое согласие технически очень сложно. Можно предложить новым клиентам подписать еще один дополнительный документ, но обойти всех старых клиентов и получить их согласие — это трата огромных средств и времени. В результате серьезные затруднения в ведении бизнеса возникают, например, у представительств иностранных банков в России. Передать базу клиентов в центр обработки данных в другой стране уже нельзя. Обслуживать российских граждан в зарубежных отделениях — тоже. Ведь их персональные данные находятся в России.

Таким образом, компаниям приходится либо мириться со снижением эффективности бизнеса, либо сознательно идти на нарушение закона со всеми вытекающими рисками. Аналогичной точки зрения придерживается также Андрей Шабанов, генеральный директор SaaS-провайдера UCMS Group в России: «Когда UCMS только пришла в Россию, проблемы трансграничной передачи персональных данных фактически не существовало. Тем не менее мы предвидели развитие событий в области законодательства и потому изначально строили собственную инфраструктуру в России, чтобы обрабатывать персональные данные клиентов в пределах страны».

Зачем же их защищать?

Здесь вступает в действие концепция кнута и пряника. Зачем компаниям защищать персональные данные клиентов и сотрудников? С одной стороны, того требует закон. С другой — требование это возникло не на пустом месте. Ведь российские организации обрабатывают огромное количество персональных данных. Как показало исследование, доступ к этим сведениям имеют многие категории сотрудников. Но в большинстве компаний отсутствуют средства контроля доступа и предотвращения внутренних инцидентов. А это увеличивает риск утечки информации.

Между тем в защите персональных данных заинтересованы не только их владельцы (то есть мы с вами) или регуляторы, но и операторы. Можно даже разделить инциденты по масштабу. Утечка персональных данных нескольких человек, скорее всего, останется незамеченной или неафишированной. Это может привести к потерям исключительно у владельцев персональных данных. Однако известно большое число случаев, когда утекали сведения о десятках тысяч людей. Некоторые подобные инциденты становились достоянием гласности. Наверное, многие помнят громкие утечки клиентских данных из российских банков. Торговцы дисками на московских радиорынках предлагают огромное число баз данных физических лиц. Утечка очень больших массивов персональных данных — это уже совершенно иная категория инцидентов. Утаить такую утечку компании уже не удастся. В итоге — прямой ущерб репутации, снижение стоимости акций и прочие неприятности. Таким образом, защита персональных данных — это и способ повышения конкурентоспособности компаний. А для тех, кто не понимает всех преимуществ, есть закон!

Кстати, большинство участников исследования не сомневается в пользе защиты персональных данных и даже ратует за ужесточение закона (см. рис. 4). Требование обязательного разглашения не только является нормой развитых стран, но и, как ни покажется удивительным, выгодно практически всем. И регуляторам — поскольку позволит усилить нормативный пресс. И специалистам по ИБ — поскольку повысит их внутрикорпоративную роль. И, конечно же, владельцам персональных данных — поскольку заставит операторов бережнее относиться к информации. Невыгодно требование только владельцам компаний и инвесторам. В этом случае повышаются расходы на ликвидацию последствий утечки.

Рис. 4. Должны ли компании разглашать факты утечек персональных данных?

Итак, что важнее, условный кнут или условный пряник? Решать каждому самостоятельно. Кнут — это законы, пряник — это возможность сохранить бизнес, сделаться конкурентоспособнее, тем более сегодня, в условиях спада экономики. Какой из факторов окажется решающим — не принципиально. Важно то, что персональные данные станут более защищенными.

Владимир Ульянов — руководитель аналитического центра компании Perimetrix; vladimir.ulyanov@perimetrix.com

Сценарии утечки

Вот пятерка наиболее типичных сценариев утечки персональных данных (по версии аналитического центра Perimetrix):

  • кража или потеря носителей с персональными данными;
  • Web-утечка — случайная публикация персональных данных в общедоступных местах;
  • спланированный инсайд — умышленная кража информации сотрудником, имеющим легальный доступ к ней;
  • бумажная утечка — печать и распространение персональных данных на бумажных носителях;
  • внешний взлом корпоративной сети.