Источник фото: shutterstock Цитирование, копирование и распространение настоящего материала и/или его фрагментов возможно только при размещении активной ссылки на данную публикацию.
До конца февраля 2023 года в России должен быть предварительно согласован законопроект о введении оборотных штрафов за утечки персональных данных. Об этом на неделе заявил глава Минцифры РФ Максут Шадаев. По словам руководителя ведомства, ключевая задача законопроекта – стимулировать бизнес более ответственно относиться к защите данных своих клиентов, пользователей и потребителей.
Размер оборотного штрафа за каждый инцидент пока не определен. Однако, источники ряда СМИ называют возможный показатель – в размере 3% от годового оборота компании. Смягчающим обстоятельством Минцифры предлагает считать усиление мер безопасности со стороны бизнеса (например, предоставление доказательств того, что компания после случая утечки направила инвестиции в укрепление системы безопасности), а также компенсация нанесенного ущерба в досудебном порядке. Как грядущий законопроект воспринимает сама отрасль? Как готовиться компаниям? И как избежать утечек? Ответы – в эксклюзивном интервью Trinity Events Group дает спикер CISO – Forum 2023, управляющий RTM Group Евгений Царев.
– Евгений, почему тема введения штрафов за утечки персональных данных стала настолько обсуждаемой и острой за минувший 2022 год?
Начать нужно с небольшого экскурса в историю. В то время, как в России область информационной безопасности чаще всего строилась от регуляторики, в большинстве западных стран она строилась от рисков. В этом смысле иностранные компании традиционно были более ориентированными на финансовые последствия от совершения или несовершения тех или иных шагов. Например, как только некая корпорация понимала, что за утечку в ее адрес могут прилететь всевозможные штрафы и судебные иски, она сразу оперативно реагировала, принимала меры.
Крупные штрафы всегда были и остаются одним из самых рабочих и эффективных инструментов воздействия на компании. Штраф или угроза штрафа заставляет бизнес шевелиться. Однако, довольно сложно установить некие твердые суммы, которые будут действовать на все компании одинаково. Например, штраф в 50 тысяч для одного бизнеса существенен, а для другого, покрупнее, – попросту незаметен. А вот если штрафы носят оборотный характер, они заставляют шевелиться сразу весь рынок целиком, могут даже перевернуть с ног на голову целые его сегменты, целые отрасли. Представьте: как только ритейл получит некие оборотные штрафы за утечки персональных данных, у него сразу же появится собственный рынок обеспечения информационной безопасности.
– То есть для России оборотные штрафы – новая практика?
Да, в России практика введения оборотных штрафов относительно новая. Ее обсуждали много лет, теперь речь идет уже о законодательных инициативах.
Для нашего бизнеса это подход непривычный. Обычно бывает так, что нам сказали «надо», и мы делаем «как надо». А здесь нам нужно самим задумываться и искать решения.
С персональными данными реальная практика всегда была такой: если компаниям нужно было что-то сделать для защиты персональных данных, они это «что-то» делали за 2 часа, и на этом – все. Формальные подходы, к сожалению, действовали поголовно, массово. Например, при приеме на работу сотрудники подписывали некое соглашение о неразглашении информации, а с документом по факту никто детально не знакомился. Теперь все. Компаниям придется проводить внутренние аудиты, расследования, они будут вынуждены вести базы инцидентов, заниматься обучением, а это целая цепочка действий, перестройка сознания и процессов.
– СМИ говорят о возможном показателе в 3% от оборота, насколько это существенно?
Оборотный штраф – это в любом случае очень серьезное наказание. Даже 1% для компании, например, с оборотом в 10 миллиардов – это сумма в разы больше той, которую можно было бы потратить на обеспечение информационной безопасности, чтобы этого штрафа не случилось.
– Мое наблюдение как пользователя, по крайней мере, по тем случаям, которые попадают в новости: в 2022 году случаи утечек стали массовыми и очень крупными. В чем причина?
Вы говорите, что чаще стали встречать новости об утечках в новостях, но поверьте: большая их часть не видна в публичном поле. Они происходят практически ежедневно. Мое мнение: ситуация, которая сложилась в России с утечками, – форменное безобразие, такого происходить не должно. В ряде случаев предотвратить их было делом техники, ведь самая популярная причина – несоблюдение элементарных процедур и правил.
В свое время я несколько лет работал с англичанами, и в Великобритании, например, при аналогичных утечках ряд компаний просто бы прекратил свое существование раз и навсегда. Акционеры бы потеряли все, именно поэтому вопросу безопасности там уделяется больше внимания, хотя, – я не идеализирую – утечки случаются и там, и везде.
– В России виной участившихся случаев стали какие-то технические проблемы, возникшие, например, на фоне ухода иностранного ПО или железа?
Не совсем. Утечки в большинстве случаев – это банальное воровство. Простой пример: как только над неким системным администратором повисает риск увольнения, его запросто может посетить внутренний вопрос: а что ценного он в силах унести с собой, чтобы воспользоваться в дальнейшем?
Данные в эпохи серьезных экономических потрясений воруют так же часто, как и любые другие ценности. Для нашего бизнеса утечки – это некоторая застарелая хроническая болезнь, которая обостряется при ослаблении системы, например, в моменты неопределенности и нестабильности. Если продолжать метафору: то, что сейчас планируют в одночасье ввести – очень тяжелая пилюля для бизнеса, сразу мощные антибиотики.
– Но, тем не менее, вы лично скорее за введение такой меры?
Да, я скорее за. Этот шаг должен был быть сделан очень давно и поэтапно, чтобы была подготовлена судебная система, правоохранительная система, отлажен контроль, для того, чтобы организации вообще поняли, как с этим можно работать и на интервале хотя бы лет пяти нормально к процессу адаптировались.
Сейчас обсуждение запущено сразу в правовое поле, реагировать нужно быстро, что порождает дополнительные риски, – а рисков сейчас и так слишком много.
– Какой бы совет вы дали компаниям, чтобы успеть быстро подготовиться, как-то мобилизовать силы для этого?
Проблема заключается в том, что мы пока не знаем и не можем предугадать правоприменительную практику. Неизвестно, как будут реагировать, например, органы прокуратуры: вдруг к компаниям в очередь выстроятся проверяющие, будут отрывать сотрудников от их непосредственной деятельности. Допустим, когда проходят налоговые проверки, последствия от выписанных предписаний могут оказаться (и часто оказываются) ниже, чем прямые расходы бизнеса на управление этой проверкой, ведь она может идти довольно долго, и к ней порой приходится подключать большое количество ключевых сотрудников, и это дорого. То есть это будет гораздо серьезнее, чем «просто» штрафы.
Лучшая профилактика негативных сценариев сейчас – не допускать утечек, и руководители компаний это хорошо понимают. Мы же с вами не говорим об управлении системами безопасности каких-то разведывательных служб, мы обсуждаем обычный коммерческий сегмент. Задача – просто строить нормальные системы защиты, технической поддержки, шифрования, резервирования, контроля на внос и вынос оборудования, системы обновления программных продуктов, утилизации. Я говорю о регулярных процедурах, которыми сейчас стратегически важно не пренебрегать. Например, известен конкретный случай, когда утечка случилась из-за того, что компания просто продала сервера вместе с железками, а там лежали бэкапы.
– Вы как руководитель успели столкнуться с подобными инцидентами в последнее время? Если нет – что вы делаете, чтобы в вашей компании их не происходило?
Я в информационной безопасности давно – уже 20 лет, половину своей жизни. Вопросы безопасности для меня – это некоторый образ мыслей: я просто всегда об этом аспекте думаю, чем бы ни занимался. Хотя, конечно, инциденты были и у нас тоже. И неминуемо возникают ситуации, когда происходит что-то неприятное. Это можно лечить расследованием и наказанием, но мы стараемся максимально доходчиво объяснить, почему те или иные вещи делать нельзя.
Мы работаем в том числе с критической информационной инфраструктурой, и в ряде случаев люди просто не осознают, что, записывая что-то на флешку, они, в первую очередь, подвергают опасности себя. Мало ли что дальше может случиться с этими данными. Выпала флешка из кармана. А начнется расследование, – и все подозрения падут именно на этого человека. Мы серьезно занимаемся технической стороной вопроса, но человеческий фактор полностью исключать никогда нельзя. Допуская в систему каждого нового игрока, вы по теории вероятностей получаете вместо одного рискового элемента – два, соответственно, вероятность утечки возрастает пропорционально. Вопрос остается только в том, как набирать людей, осознающих все эти новые риски.
– Есть ли сценарии, когда утечка совершается непредумышленно?
Более чем. Таких сценариев очень много. Я уже упомянул случай с продажей серверов.
Отдельный вид утечек – те, которые совершаются просто из-за незнания, чем это грозит. Например, человек отправляет некий документ самому себе на личную почту, чтобы поработать с ним дома, а это – утечка. Многие компании, которые относятся к этому вопросу критично, запросто могут уволить такого сотрудника. Мы, помимо других направлений, занимаемся экспертизой, и видим, как это происходит. Человек правда не знал, действовал из искренних побуждений поработать больше и лучше, но факт остается фактом: человек остается без работы с соответствующей записью в трудовой книжке.
– Евгений, если подводить итог, какой совет коллегам вы бы дали сейчас: к чему особенно стоит готовиться в наступившем 2023 году, в какие проекты вкладывать средства, чтобы обеспечить максимально безопасную, защищенную работу, а от каких трат лучше отказаться?
Если мы говорим про стандартные вещи по информационной безопасности, – они в основном уже сделаны у всех крупных игроков. Если говорить про тренды, модные направления и технические решения, – я бы не советовал сейчас в них инвестировать. Я делаю ставку на людей, на человеческий капитал, особенно в тех организациях, где большие и средние коллективы отделов ИБ. Проинвестируйте в специалистов: обучите, наймите новых, получите более качественный капитал знаний и умений ваших сотрудников, которые смогут сделать работу лучше, на другом уровне.
Второй момент – думайте чуть больше о надлежащем выполнении стандартных процедур, потому что зачастую именно их нарушение является причиной многих проблем, с которыми сталкиваются компании. Необновленное ПО, средства защиты, операционные системы, не вовремя сделанный бэкап – все это на поверхности. Это как с вождением автомобиля: в истории ДТП нет ни одной умной аварии. Их все было очень легко предотвратить.
Межотраслевой форум директоров по информационной безопасности – полный обзор главных новостей и трендов, актуальная повестка, дискуссии на сцене и в кулуарах, неограниченные возможности для общения, ответы и прогнозы экспертов – из первых уст. 14 апреля 2023 года очно и в онлайн-формате.