Недавний утренний кошмар: звонок на домашний телефон. В трубку монотонно забубнил автоинформатор некой стоматологической клиники, видимо в расчете на то, что у абонента от этого немедленно заболят зубы. Заставив себя вытерпеть спам до конца, я дождался передачи линии секретарю, которая в замешательстве бросила трубку, когда я спросил, откуда они взяли мой номер.
Количество пострадавших от утечек клиентских баз исчисляется миллионами, а сами утечки информации по разным причинам — от коммерческого шпионажа до простой халатности — сотнями случаев. Спрос на защиту информации очевиден: еще в январе 2006 года, согласно опросу ROMIR Monitoring (источник: ИА «Альянс Медиа», 2006), лишь 3,4% опрошенных россиян из 43 регионов не сомневались в сохранности своих личных данных, зато 24,4% были уверены в их полной беззащитности. При этом почти три четверти опрошенных (74,1%) поддержали борьбу с распространением пиратских баз данных, содержащих личную информацию, а 63,3% высказались за то, чтобы государство взяло сбор персональных данных под контроль.
С нынешней зимы, однако, россияне уже не столь беззащитны перед лицом телефонных атак стоматологов, религиозных сект и социологических служб, а также продавцов всевозможных телефонных баз. 30 января 2007 года вступил в силу федеральный закон «О персональных данных», регламентирующий охрану личной информации граждан. Это означает, что виновников разглашения информации о клиентах компаний можно привлечь к ответу. Возможные формы ответственности — гражданская, дисциплинарная, административная и уголовная. В самых простых случаях организации могут лишиться лицензий и возместить ущерб пострадавшим гражданам.
Под персональными данными при этом понимается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)». Это куда более широкая и растяжимая трактовка, чем в зарубежном законодательстве, что налагает повышенные требования на все компании и госструктуры, в распоряжении которых есть сведения об их сотрудниках, клиентах, партнерах или других лицах. Отныне организации должны сообщать гражданам, для чего им требуются их личные сведения. Например, нельзя без согласия посетителя брать его паспортные данные при посещении офиса или оформлении дисконтных карт, зато можно потребовать от телефонного оператора убрать из базы сведения об абоненте и не вносить за это плату. Исключение сделано лишь в отношении журналистской работы, а также гласности в работе чиновников и информации о кандидатах на выборные должности.
Принять и внедрить
Впрочем, как это водится в России, одно дело принять закон, другое — выполнить. Еще до начала его действия, в октябре—ноябре 2006 года, 300 экспертов по ИТ-безопасности оценили эффективность закона «О персональных данных» в исследовании, проведенном аналитическим центром InfoWatch (источник: Совместное исследование компании InfoWatch и портала SecurityLab.ru, декабрь, 2006). Результат вселил умеренный оптимизм: 68% респондентов абсолютно уверены в необходимости закона, а 61% в той или иной мере верят его работоспособность (хотя лишь 6% — без оговорок). В апреле этого года екатеринбургский Internet-портал JustMedia (источник: JustMedia, апрель, 2007) выяснил, как обстоят дела с выполнением закона в Свердловской области. Оказалось, что хоть о вступлении закона в силу знают как в местных крупных компаниях, так и в управлении Россвязьнадзора, у чиновников не оказалось распоряжений, по которым можно контролировать его выполнение на местах. Тем временем продажа и использование мошенниками персональных данных продолжали расти. Наконец, руководители местного филиала МТС заявили, что в принципе готовы к выполнению требований закона и уже внесли изменения в абонентские договоры, но не могут оценить свою систему защиты данных, пока не готовы требования Федеральной службы по техническому и экспортному контролю России, отвечающей за претворение закона в жизнь.
Нужно признать, что внедрить закон — дело достаточно непростое. Среди его требований, например, запрет на хранение персональных сведений после выполнения цели их обработки, после чего такая информация подлежит уничтожению. Это непростая задача для Internet-магазинов, которые, если строго следовать закону, теперь должны в течение трех рабочих дней уничтожать информацию о клиентах, чьи заказы выполнены. А вот обезличенные выборки, скажем для статистических исследований, уничтожать не обязательно, притом, что те же телевизионные социологи могут быть крайне навязчивыми, проводя исследования путем обзвона. Наконец, закон позволяет передавать личные данные для сторонней обработки при соблюдении их сохранности. А вот реально ли при этом уберечь их на деле, уже вопрос. Ведь информацией располагают уже две организации, и обе должны позаботиться о сохранности данных.
Наконец, каждой организации, имеющей дело с персональной информацией не только о своих сотрудниках, в нынешнем году придется уведомить государственные органы о мерах по охране персональных данных. А внутри организаций соблюдение закона подразумевает пересмотр значительной части внешних и внутренних бизнес-процессов во всем, что касается персональных данных — от их сбора до уничтожения. В крупных западных компаниях предусмотрена должность Chief Security Officer — директора по безопасности, и уже функционируют первые программы подготовки таких специалистов в российских условиях.
Понятно, что меры эти стоят немалых средств, и 20% участников исследования InfoWatch сомневаются в выполнимости закона по этой причине. Еще 8% ссылаются на отсутствие технических решений, а 18% — на нехватку людей, способных воплотить эти меры в жизнь. Но вот 49% опрошенных считают, что требования закона трудно выполнить, потому что они недостаточно конкретны. Благое намерение остановить утечку персональной информации рискует разделить участь многих российских законов. 40% опрошенных InfoWatch специалистов уверены, что примерно так и будет, поскольку привлечь нарушителей к ответственности весьма непросто, учитывая неповоротливость российских судов. Чтобы привлечь кого-то к ответственности по новым статьям, необходимо создать прецеденты, ими, скорее всего, станут иски отдельных граждан к крупным организациям. Но чтобы создать такие прецеденты, пока не хватает правовой базы.
Экономная своевременность
Между тем меры по активной защите информации нужны не только потому, что теперь этого требует государство. Они сами по себе экономически эффективны и своевременны. По данным InfoWatch, в крупных компаниях (численностью 500 сотрудников и более) в среднем происходит по одной утечке в месяц, ущерб от них в несколько раз превышает стоимость мер по их профилактике, а сами системы защиты окупаются примерно через год. ИТ-эксперты оценивают возможность внедрения защиты информации на уровне требований нового закона с умеренным оптимизмом: 47% опрошенных считают это сложным, но выполнимым проектом, а 39% и вовсе не считают делом, требующим больших усилий.
И эти усилия предпринимаются: в конце прошлого года 45% опрошенных заявили о планах внедрения новых ИТ-продуктов с целью защиты информации, исходя из требований нового закона, 16% уже располагают системами защиты, а 26% собираются внедрить их не в нынешнем году. Лишь 13% компаний не собираются внедрять защиту информационных систем из-за неверия в работоспособность закона, но теперь это может поставить под угрозу их отношения с государством и заставить все же взяться за срочный поиск решений.
От простого...
Начинать такую работу стоит не с технически сложных проектов, а с простых организационных решений. Во-первых, у организации должна быть четкая информационная политика. Практически любые утечки информации можно выявить и предупредить. Нетрудно разобраться, где их причиной стала халатность одних сотрудников, где — злой умысел других, а где эти факторы накладываются друг на друга. Несложно перестроить информационную систему организации так, чтобы доступ к персональным данным остался у минимального числа сотрудников, которым он действительно необходим. Со всеми сотрудниками организации нужно заключить соглашения об охране конфиденциальной информации, либо включить соответствующие положения в трудовые договоры. Сотрудников надо специально обучать навыкам работы с важными данными. Должен быть очерчен круг лиц, имеющих доступ к конфиденциальной информации, и основные группы риска, а в коллективе создана обстановка, при которой сложнее похитить информацию.
Затем можно браться за технические средства защиты. В их числе — шифрование важной информации и активный мониторинг всех действий сотрудников с чужой информацией, чтобы пресечь любую возможность ее утечки. Подразумевается не простой, а активный мониторинг, который предусматривает автоматическую блокировку всех сомнительных действий инсайдеров. Такие решения существуют и подразумевают фильтрацию Internet-трафика, почтовой корреспонденции, запросов к базам данных и общего уровня активности пользователей и включают в себя систему анализа текстов. В условиях, когда почти все сотрудники работают на персональных компьютерах под Windows, сложно полностью застраховаться от копирования важной информации в незащищенные места и хранить ее только в зашифрованном виде, но можно помечать важные ресурсы и автоматически отслеживать действия пользователей, наносящие ущерб ее целостности. Вся информация о возможных утечках поступает к сотруднику компании, отвечающему за информационную безопасность, а все подозрительные объекты автоматически попадают в область карантина. Особенно важно то, что эти системы контролируют и действия сотрудника, отвечающего за их эксплуатацию.
По оценке InfoWatch, внедрение эффективной системы безопасности, предусматривающей защиту как от возможной халатности сотрудников, так и от злонамеренных действий, должно обойтись организации в 400—800 долл. за каждое рабочее место. Принятие и внедрение закона о защите персональных данных способно породить целый рынок систем информационной безопасности, который в ближайшие два года может вырасти как мыльный пузырь. При этом качество этих систем и их реальное соответствие требованиям закона может быть очень разным. Выбрать правильное решение будет непросто до тех пор, пока на рынке не выработается общепринятый подход к тому, как именно надо защищаться от утечек.
Можно подвести итог: меры защиты частной информации становятся стандартом, есть надежда, что похитители персональных данных лишатся поводов напоминать о себе. Хотя в российских условиях до этого еще очень далеко.
Владимир Львов — обозреватель, wlcross@rinet.ru