Мона Архипова, независимый эксперт: Человеческий фактор – самое слабое звено в информационной безопасности

Мона Архипова, независимый эксперт в сфере кибербезопасности, рассказала порталу Cyber Media об основных причинах ужесточения закона о персональных данных, проблемных областях в работе с ПДн и возможных путях совершенствования законодательства в этой сфере.

Cyber Media: Законодательство в сфере обработки персональных данных, их передачи и хранения, объективно, далеко от совершенства на сегодняшний день. Какие проблемные аспекты, на Ваш взгляд, нужно скорректировать в первую очередь?

Мона Архипова: Законодательство активно совершенствуется по сравнению с тем, что было в самом начале, когда закон о ПДн только появился. Сейчас вводят «драконовские» меры, но при этом остается достаточно много лазеек для некорректного выполнения или невыполнения достаточных мер для практической защиты. На данный момент ответственности много, а контроля и адекватного правоприменения – мало. Проще говоря, нам сказали, что будет за нарушение закона, но не сказали, как его реализовать компаниям, операторам ПДн.

Я считаю не совсем правильным то, что вне зависимости от того, как компания вкладывалась в фактическую безопасность и, как у нее выстроены процессы, она все равно получит оборотный штраф в случае утечки ПДн. Но я надеюсь, что регулятор будет прислушиваться к мнению профессионального сообщества, совершенствовать методологию и законодательство в этой области.

Фокус государства попал на проблему ПДн по поручению президента России. Поэтому все решения приняты оперативно и в сжатые сроки, с учетом угроз актуальных в последние полтора года. Но мы явно движемся к тому, чтобы скоро прийти к действительно зрелому законодательству в области ПДн.

Я считаю, что есть два основных аспекта, которые нужно обозначить на законодательном уровне в первую очередь:

Определить каким образом мы понимаем, что утечка новая, а не компиляция старого эпизода. Есть случаи, когда за новую утечку выдают данные 5-7 летней давности, а то и больше. Тогда и законодательство, и технологические решения были совсем на другом уровне. Получается, самая основная проблема – это то, как мы определяем, что произошла именно свежая утечка.
Не менее важный вопрос – история про коммуникацию с субъектами ПДн, то есть с теми людьми, чьи данные были украдены. Ряд компаний проводит оповещение. В основном это публичные компании, которые торгуются на бирже и обязаны раскрывать такую информацию. Но многие опускают момент уведомления субъектов ПДн. Я считаю, что это неправильно. Человек должен знать, что данные ушли и какие именно.

Cyber Media: Если говорить о лучших практиках в сфере регулирования работы с персональными данными, опыт и регламенты каких государств Вы могли бы назвать наиболее эффективным?

Мона Архипова: Россия сейчас двигается в вопросе регулирования ПДн к варианту похожему на GDPR (примечание редакции: общий регламент защиты персональных данных Евросоюза). Регламент подразумевает, что в компании должен быть отдельный человек, который занимается именно приватностью ПДн. У нас в компаниях эта задача пока что возлагается на конкретных специалистов по информационной безопасности, а то и вовсе игнорируется и существует только формально на бумаге. В юридической плоскости мы двигаемся в эту сторону, а вот в технической и архитектурной пока не очень. Я надеюсь, что скоро наш рынок дозреет до таких практик.

Второй момент – добровольные сертификации, но те, которые делают не просто для галочки, чтобы повесить на сайт. Я за практическую безопасность. Законодательство и требования – это хорошо, но не менее важна практическая часть: как я люблю говорить «от хакеров бумажным сертификатом не защитишься».

Cyber Media: Анонсированные Минцифры оборотные штрафы – станут ли они, на Ваш взгляд, ультимативным решением проблемы, или нужны будут какие-то дополнительные меры со стороны государства?

Мона Архипова: Это, как минимум, подсветит приоритет для бизнеса. Очень смешно когда система обеспечения безопасности ПДн стоит, к примеру, 1 млн руб., а штраф за утечку составляет 60 тыс. руб. Если абстрагироваться от репутационных рисков, то мы получаем ситуацию, когда бизнесу выгоднее заплатить штраф, чем вкладываться в закупку средств безопасности и операционные затраты на сопровождение оных.

Естественно, для маленьких компаний оборотный штраф будет все равно не большой. Зато большие компании точно будут задумываться над тем, что лучше потратить 1 млн. руб., чтобы сохранить условные 10 млн. руб., вместо того чтобы говорить, что бюджета на информационную безопасность нет или он выделяется по остаточному принципу.

Cyber Media: Объективно, никакие меры не сделают риск утечки данных нулевым. На Ваш взгляд, как компания должна выстраивать процесс реагирования на утечку, в частности – в контексте публичного оповещения?

Мона Архипова: Я считаю, что публичное оповещение должно происходить уже после того, как инцидент расследован. После того как все процессы реагирования на инцидент пройдены и компания четко понимает, что, каким образом и куда утекло. Так же и оповещение субъектов ПДн должно происходить после всех процедур.

Расследование помогает выяснить, какие конкретно данные утекли – архивные, актуальные, просто авторизационные или же обогащенные ПДн со списком заказов, последними цифрами банковской карты и так далее. Поэтому на начальном этапе коммуницировать не стоит. Но, если информация ушла в публичное поле до окончания расследования, то необходимо оповестить и заявить о ведении расследования.

Если говорить о стоимости информационной безопасности – это всего лишь вопрос повышения стоимости самих атак, утилит и методов, которыми будут атаковать. 100 % информационной безопасности не бывает, об этом говорят еще на первом курсе профильного вуза. Если вам кто-то обещает 100 % безопасность, то можно сразу разворачиваться и уходить.

Человеческий фактор остается всегда в роли самого слабого звена – что в вопросах информационной безопасности, что в других областях, от ошибки или намеренных действий никто не защищен. Социальная инженерия, идеологические истории, подкуп, даже просто фотография экрана и так далее – от всего этого не помогут даже самые совершенные технические средства защиты.