Ксения Шудрова, независимый эксперт: В последние пять лет можно отметить глобальный интерес общества к теме защиты персональных данных

Ксения Шудрова, специалист по защите персональных данных, автор блога «Защита персональных данных и не только», а также лауреат премии «Киберпросвет», рассказала Cyber Media об уровне культуры работы с ПДн, проблемных областях в регулировании работы с персональными данными и поделилась своими рекомендациями по защите ПДн.

Cyber Media: За последние годы тема ПДн «обросла» и регуляторикой, и большим количеством правоприменительной практики. На ваш взгляд, какие темы или области остаются наиболее проблемными с точки зрения специалиста по работе с ПДн?

Ксения Шудрова: Проблемных зон достаточно много. Из своего опыта и опыта своих клиентов могу отметить оценку вреда субъектам персональных данных и моделирование угроз. Несмотря на то, что в 2022 году были утверждены «Требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (Приказ Роскомнадзора от 27.10.2022 N 178), у операторов осталось много вопросов по процедуре проведения оценки. Также, как я уже говорила, много сложностей вызывает составление модели угроз по требованиям ФСТЭК России (Методика оценки угроз безопасности информации, утв. ФСТЭК России 05.02.2021).

Сама методика понятна, но количество сценариев реализации угроз безопасности информации, которые должен рассмотреть оператор, огромно. Это сотни, даже тысячи сценариев для сложной информационной системы. Соответственно, сам документ разрастается до сотен листов. При внесении изменений приходится снова и снова его переделывать. При этом параллельно существует классификация типов угроз от Постановления Правительства 1119. Как увязать эти три типа с моделью угроз – вопрос нетривиальный.

Вообще, всё, что касается моделирования угроз – это сложный процесс, даже специалисты с опытом сталкиваются с трудностями при выполнении этой работы. Что уж говорить про небольшие предприятия, где защитой персональных данных занимается в лучшем случае кадровик, а в худшем – сам хозяин бизнеса.

Еще одна трудность заключается в отсутствии утвержденных шаблонов документов и полного перечня документов на информационную систему персональных данных. Поэтому операторы часто задаются вопросом, а всё ли у нас сделано? Единственно правильного ответа здесь нет и не будет. Спросите 10 специалистов, вы получите 10 перечней документов, которые не будут совпадать ни по количеству документов, ни по их названиям.

Cyber Media: Тема защиты ПДн обычно обсуждается в экспертной среде, но все мы ежедневно сталкиваемся с ней в повседневной жизни. С какими интересными или вопиющими случаями, связанными с защитой персональных данных, вы сталкивались?

Ксения Шудрова: Нарушения повсюду:

• звонки коллекторов после оформления карты лояльности известного, и от этого вызывающего доверия, магазина;
• использование чужих документов, содержащих персональные данные, в качестве черновиков;
• развешивание списков должников на подъездах;
• публикация фото и персональных данных в городских Интернет-сообществах;
• разглашение персональных данных в общедомовых чатах и чатах родителей;
• выбрасывание пачек банковских договоров на свалку.

Потихоньку ситуация начинает меняться, но должно пройти время. Еще 20-25 лет назад в классном журнале была страничка с заболеваниями учеников. Мы с одноклассниками её внимательно изучали, мерились здоровьем. Смешно или уже нет? Сейчас это специальные категории персональных данных, данные о состоянии здоровья нужно обрабатывать особым образом.

Другой пример из прошлого. До 2013-го года свободно можно было добавить в свою вакансию пол и возраст работника. Сейчас это запрещено статьей 13.11.1 КоАП и является дискриминацией.

Несмотря на то, что закон «О персональных данных» существует с 2006 года, подзаконные акты в большинстве своем гораздо свежее, а до недавнего времени интересовались ими только специалисты. Глобальный интерес общества к теме защиты персональных данных можно отметить только в последние пять лет, в связи с появлением информации о масштабных утечках и активными действиями мошенников. Поэтому повторюсь, должно пройти время, прежде чем нарушения перестанут носить вопиющий характер, а может и вовсе исчезнут, как исчезло требование к системному администратору быть мужчиной старше 25 лет.

Cyber Media: Есть ли на сегодняшний день окончательное понимание того, что считается общедоступными персональными данными, а что – нет? В СМИ периодически появляются кейсы, когда к персональным данным относят, например, telegram-id или другую специфическую информацию.

Ксения Шудрова: О, это хороший вопрос! Но однозначного ответа на него дать не получится. Даже среди специалистов нет единого мнения. Есть «знаменитое» определение Верховного суда, там про связку e-mail и телефона. Но здесь надо понимать, что вывод был по конкретному случаю, не обязательно, что в другом случае суд придет к такому же выводу.

Важен контекст и умение доказать свою позицию, обосновать её, так как всё очень субъективно. Ну и если вы считаете, что на вашем сайте обрабатываются только общедоступные персональные данные, то это необходимо отобразить в политике обработки.

Cyber Media: На ваш взгляд, стоит ли ждать значительных изменений в части защиты ПДн (технологий, подходов, регуляторики) в ближайшие годы и если да, то каких?

Ксения Шудрова: Есть определенные тенденции к изменениям. Всё чаще говорят о создании гигантов-спецоператоров, об облаках, в которых будет всё храниться, а операторы из малого и среднего бизнеса будут подключаться и запрашивать нужные для работы данные. С одной стороны, такая передача на аутсорс может быть решением многих проблем. С другой стороны, появятся огромные базы, которые будут притягивать злоумышленников. Всё-таки хранить все персональные данные в одной корзине довольно опасно.

Много говорят о страховании рисков, о выплате ущерба субъектам, об оборотных штрафах. Думаю, этим путем мы обязательно пойдем. На мой взгляд, штраф должен быть пропорционален масштабу утечки.

В качестве совета могу сказать, что особое внимание сейчас операторам следует уделять данным несовершеннолетних и специальным категориям персональных данных. Такая обработка находится под пристальным вниманием государства, и нарушения здесь недопустимы.

Cyber Media: Поделитесь вашим опытом, какие подходы или решения помогают специалисту по защите ПДн облегчить свою работу?

Ксения Шудрова: Во-первых, черпать информацию нужно из первоисточников. Зацепила вас какая-то новость, найдите судебное решение, документ, нормативный акт, комментарий официальных лиц. При перепечатке часто теряется суть и появляются эмоции. Вам важно научиться отделять зерно истины.

Во-вторых, за деревьями нужно уметь видеть лес. Каждая новость, каждый кейс, каждый случайный разговор с коллегами из других организаций говорит о появлении закономерности, которая вырастет в тенденцию. Отмечайте акценты, которые расставляют в СМИ, чтобы подстелить соломки, исправить свои ошибки, улучшить бизнес-процессы. Например, всё чаще говорят сейчас о компенсации вреда субъектам в случае утечки. Проверьте, есть ли у вас акт оценки вреда? Утвержден ли порядок реагирования на инциденты? Изучайте все обстоятельства чужих утечек, которые можете найти. Вместо того, чтобы злорадствовать на тему необходимости делать резервные копии, проверьте свои бэкапы. Может быть на бумаге всё хорошо, а в жизни администратор забыл настроить автоматическое создание архива.

В-третьих, ищите легкие пути. Если увидели где-то хороший шаблон, разъяснение, презентацию, всё сохраняйте и используйте в работе. Я совершенно не понимаю стремление делать всё самостоятельно и изобретать велосипед. Защита персональных данных – не школьный экзамен, списывать можно! Но только у отличников, конечно же.

В-четвертых, проникнитесь философией защиты персональных данных. Для чего же мы делаем свою работу? Чтобы выполнить требования регуляторов? Или для благой цели защиты каждого из нас от киберпреступников, от утечек, от сбоев, от огласки личных тайн?