Сохранить в тайне. Как власть и бизнес борются с утечками данных?
Мы живем в век цифровизации, когда практически все можно сделать при помощи телефона с выходом в интернет. Однако современные технологии — это не только удобство, но и большая опасность, ведь в нашу жизнь врываются и дополнительные угрозы в виде утечки личных данных. Реально ли решить эту проблему?
И почему, несмотря на все усилия, пользователи все равно остаются уязвимыми перед мошенниками? Об этом говорили в ходе дискуссии «Цифровая безопасность и ответственность бизнеса» в рамках Восточного экономического форума.
Уязвимы все
Модератором сессии стала первый заместитель генерального директора ИД «Аргументы и факты» и доцент Финансового университета при президенте РФ Марина Мишункина. Она отметила, что обеспечение цифровой безопасности сегодня становится приоритетной задачей как для государства и общества, так и для бизнеса в целом.
«В этом году произошло 95 крупных утечек баз данных, а это на 37% больше, чем в прошлом. На мой взгляд, это большая цифра. Причем, в 80% случаев бизнес говорит, что это кибератаки. Но эксперты отмечают, что цифра может быть неверна, ведь в попытке спасти репутацию предприниматели просто скрывают реальные обстоятельства утечек. По статистике каждая 10 утечка связана с действиями сотрудников. Получается, что государство оказывает поддержку именно IT-сфере и в целом лояльно относится к цифровому бизнесу, предоставляя адресную и налоговую поддержку, но бизнес остается уязвимым? Возможно ли решить этот вопрос?», — обратилась Марина Мишункина к экспертам.
Сессию начали с выступления представителя ведомства, которое занимается расследованием киберпреступлений. Заместитель начальника следственного департамента МВД РФ Данил Филиппов обратил внимание на то, что, несмотря на постоянное информирование граждан, количество киберпреступлений только растет.
«За последние 7 месяцев ущерб по категории "мошенничество" составил более 91 млрд. Это практически на 30% больше, чем в прошлом году, — перечислил эксперт. — Например, громкий случай произошел в Санкт-Петербурге, где пенсионерка отдала мошенникам все накопления, кредитные деньги, передала право собственности на единственную квартиру, после чего по указанию мошенников изготовила зажигательную смесь и подожгла отделение военкомата. Ее отправили в колонию на 10 лет. Сегодня уровень технической защищённости достаточно высок, поэтому единственной уязвимостью остается человек».
Данил Филиппов отметил, что обманывать людей мошенникам «помогают» слитые в интернет личные данные пользователей: имена, телефоны, фотографии документов. А дальше — дело техники: войти в доверие к человеку или запугать «звонком из ФСБ или МВД».
«Человек ведется на нелепые сценарии и выполняет требования мошенника. Аттракция основана на отсутствии у человека элементарных базовых знаний. Все уязвимы к атакам социальных инженеров, единственная эффективная система защиты — обучать и тренировать людей, давая им необходимые навыки распознавания мошенника. А потом постоянно напоминать людям о том, что они выучили, но способны забыть. Мы уже обсуждали создание на сайте "АиФ" рубрики по кибербезопасности. Надо вернуться к этому вопросу», — отметил Филиппов.
«Кроме того, организациям, которые собирают, обрабатывают и используют персональные данные, также стоит тщательнее соблюдать действующее законодательство и собственные обязательства, направленные на хранение баз. — продолжает Филиппов. — Это связно с оборотом серых банковских и сим-карт, которые дают возможность преступникам обеспечить себе анонимность при совершении преступлений. Наша общая задача — сделать все возможное, в том числе на законодательном уровне, чтоб исключить детерминанты, дающие возможность совершения преступлений на территории нашей страны».
Нужно строже защищать
В свою очередь Марина Мишункина согласилась с предложением, отметив, что издательский дом «АиФ» многое делает для информирования россиян и совместная работа с МВД только усилит этот процесс.
Начальник отдела по надзору за исполнением законов в сфере информационных технологий и защиты информации Генеральной прокуратуры РФ Олег Кипкаев отметил, что сегодня как никогда важно обучать и сотрудников компаний, чтобы не допускать утечек данных.
«Необходимо внедрить более строгие меры по защите информации. Риск безопасности во многом определяется тем, насколько технологии адаптированы к современным угрозам. Поэтому соблюдение законов о защите данных является не только вопросом соблюдения правовых норм, но и важным аспектом репутации бизнеса. В условиях постоянных инцидентов нельзя пренебрегать безопасностью. Компании должны строить свою деятельность не только в соответствии с законодательством, но и активно информировать своих клиентов о мерах, которые они принимают для защиты данных», — отметил представитель прокуратуры.
По словам спикера, бизнес обязан проводить аудит безопасности и ее соответствие актуальным требованиям. А еще быть открытым, прозрачным и не бояться внедрять новые практики.
Забота о цифровой гигиене
Элина Сидоренко, член Совета при президенте Российской Федерации по развитию гражданского общества и правам человека и генеральный директор АНО «Белый интернет» сказала, что сегодня важно «подружить» цифровизацию и бизнес.
«Но надо найти паритет между тем, что человек реализует свою свободу в интернете, но не нарушает свободу других, — подчеркнула эксперт. — Сегодня появился такой тренд как цифровое насилие. Недавно на встрече со школьниками задали вопрос, кто сталкивался с подобным в интернете? Руки подняли все. Причем, из них лишь трое рассказали об инциденте родителям, и никто не обратился в полицию или другие ведомства. Это говорит о том, что подобные преступления носят скрытый характер, и если сейчас бизнес не включится в решение проблемы, то это выльется в большие социальные и криминальные проблемы».
Сидоренко также отметила, что необходимо поднимать вопросы сбора персональных данных и отсутствия стандартов их использования, ведь сегодня огромное количество компаний собирает и хранит информацию о своих клиентах, причем собирает информации больше, чем нужно.
«Куда уходит вся эта информация? Знают ли сотрудники о таком понятии как цифровая гигиена? Гражданское общество делает огромную работу, чтобы упорядочить ситуацию на рынке. Но очевидно, что этих усилий недостаточно, ведь нужно узаконить их», — отметила эксперт. С ней согласилась и Марина Мишункина, которая задала прямой вопрос члену комитета Госдумы по информационной политике, информационным технологиям и связи Антону Немкину: «Как выстраиваете защиту от киберугроз?»
«Ждем подписанного законопроекта об оборотных штрафах, где будет сформирована мотивация компаний внимательнее относиться к персональным данным людей, — отметил эксперт. — Угрозы действительно большие, необходимы мероприятия для защиты данных. Нужно создавать инфраструктуру уполномоченных компаний, которые будут на аутсорсе заниматься защитой данных. Минцифры в прошлом году ввело практику выявления уязвимости, провели мероприятия, но оказалось, что в законе не все так гладко и надо совершенствовать законодательство, чем мы и занимаемся — внесли пакет законопроектов изменения в гражданский кодекс».
По мнению члена комитета Совета Федерации Федерального Собрания по конституционному законодательству и государственному строительству Артема Шейкина, оборотные штрафы в полной мере не решат проблемы.
«Они не гарантируют пострадавшим возмещение ущерба. Поэтому в Совете Федерации рассматриваем инициативу, где компании, которые оперируют персональными данными, должны иметь финансовое обеспечение, чтобы у них была возможность выплаты гражданам морального ущерба в случае утечки персональных данных. Это позволит компаниям также озаботиться и кибербезопасностью, и не собирать лишние данные».
Кстати, депутат Госдумы Николай Новичков в рамках сессии сказал, что сейчас также формируется нормативно-правовая база о функционировании искусственного интеллекта. Но кто должен нести ответственность за причинение вреда или ущерба? Большие данные — это основа функционирования искусственного интеллекта, а они не всегда в безопасности.
Найти новых специалистов
По данным статистики, которую процитировала Марина Мишункина, в 2023 году из баз данных банков и компаний утекло 170 млн персональных данных — это больше, чем все население России.
«Дело в том, что один человек может состоять в нескольких базах данных. Но пугает не это — за три года количество утечек увеличилось в 57 раз! То есть это просто бич нашего времени», — говорит спикер. С ней согласился и президент Национальной ассоциации негосударственных пенсионных фондов Сергей Беляков. Который подчеркнул, что нет систем, которые были бы защищены от взломов на 100%.
«Если перед теми, кто ориентируется на получение доступа, есть цель и цена действий ниже, чем эффект, который получит взломщик, то он цель реализует. Но у нас проблема, как впрочем и в других странах, во взаимодействии между бизнесом и государством — есть сложности с обменом информацией и поэтому выявить оперативно причину инцидента не получается».
Заведующий бюро адвокатов «Де-юре» Никита Филиппов тоже взял слово — он сказал, что банковский сектор наиболее защищен в нашей стране, что во многом заслуга Центробанка. А законодателям важно обратить внимание на маркетплейсы — они хранят данные пользователей, которые по объему сопоставимы с банковскими. Но регулируются на общих основаниях.
«Это надо корректировать и дать возможность Центробанку регулировать их действия в части защиты данных», — отметил Филиппов.
Вице-президент Российского союза промышленников и предпринимателей Сергей Мытенков коснулся и другой проблемы —нехватки квалифицированных кадров.
«Мы наблюдаем, как конкуренция за специалистов возрастает, и многие компании испытывают трудности с обучением и удержанием талантливых сотрудников. Это создает серьезные преграды для развития».
Отчасти решить проблему квалифицированных кадров могут университеты, в числе которых и «Синергия». Ректор вуза Артем Васильев отметил, что высшие учебные заведения увлеклись подготовкой IT-специалистов, но не учат цифровой безопасности.
«Пора уже менять ракурс и начинать развивать это направление, которое во многом поможет решить проблемы с утечкой данных», — отметил Васильев.