Павел Кузнецов, ГК «Гарда»: Если ты знаешь, что о тебе знает злоумышленник, то ты уже вооружен

Cyber Media: Закон об увеличении штрафов за допущение утечки данных обсуждается не один год. По каким причинам, на Ваш взгляд, решение по этому поводу так затягивается?

Павел Кузнецов: С точки зрения специалиста по информационной безопасности все достаточно просто – нужно установить систему, из которой произошла утечка и человека, который допустил уязвимость. Но погружаясь в тему глубже, мы обнаруживаем вопрос адресной ответственности. Цифровизацией многих компаний – операторов ПДн, занимаются не они сами, а сторонние специалисты, подрядчики. Системы вводятся в эксплуатацию в большом количестве и с высокой скоростью. Поэтому установить не только человека, а даже конкретную организацию виновную в той или иной утечке становится все сложнее.

Если крупная компания оператор ПДн, с большим количеством клиентов, не из ИТ-сектора, то и первоисточник утечки определить крайне сложно. Даже если есть собственная служба информационной безопасности, размер компании заставляет так или иначе использовать внешнего подрядчика. В этой конфигурации понять кто, конкретно, слабое звено, из-за которого утечка стала реальной – чаще всего затруднительно.

Поэтому принятие закона должно случиться, когда сам алгоритм определения конкретного ответственного станет прозрачен, понятен и справедлив. Я подозреваю что основные прения по поводу этого закона идут сейчас именно с точки зрения определения этого алгоритма.

Cyber Media: В контексте защиты ПДн высокую эффективность показывает такая процедура как маскирование. Почему нельзя применять ее повсеместно?

Павел Кузнецов: Повсеместно можно применять практически все что угодно – любые меры защиты, которые позволят повысить уровень защищенности данных. С технической точки зрения препятствий нет.

Но конкретно с точки зрения маскирования нужно понимать, что это мера, не относящаяся к построению стены, которая защищает от атакующих. Это инструмент, который организационно позволяет, с применением технических средств, отделить боевые реальные данные от похожего на них набора данных, но обезличенного. Чтобы этими данными смогли воспользоваться, например, разработчики или подрядчики.

В отличие от традиционных средств защиты, таких как антивирусы, межсетевые экраны и так далее, в регулировании маскирования существует некоторая «серая» зона. Во-первых, это не обязательное средство защиты, во-вторых, не все организации процессно и экспертно готовы к тому, чтобы применять такие решения. В нормативной базе вообще нет определения, что такое средства маскирования. Поэтому для защиты, например критической инфраструктуры, решения этого класса применить не получится.

Cyber Media: В некоторых государствах используется практика создания «мегаоператоров» ПДн, что-то похожее можно увидеть в России в контексте работы с биометрическими данными. Какие плюсы и минусы есть у подобного подхода?

Павел Кузнецов: Если мы кладем все яйца в одну корзину, то в случае нахождения злоумышленниками подхода именно к этой корзине, риск утечки становится критическим. С другой стороны, если данные собраны в архитектуру, которая уже на этапе своего планирования предусматривает, как организационные контрмеры, так и установку определенных средств защиты информации, то ее защищенность будет выше. Они будут безопаснее, чем сотни отдельных операторов, каждый из которых творит свою защиту самостоятельно.

Классическая палка о двух концах. С одной стороны, мы создаем лучшие условия для злоумышленника в случае взлома, нежели ему придется искать данные, взламывая разные источники. С другой стороны, если мы изначально грамотно подойдем к вопросу организации защиты в такой системе еще на этапе проектирования, фокусно защитим базу данных и иные хранилища, установим все необходимые эшелоны защиты, то тогда жизнь киберпреступнику мы усложним радикально.

Cyber Media: Многократные утечки привели к тому, что в сети есть огромное количество данных о людях. Например, в Китае средняя утечка – это сотни миллионов строк. На Ваш взгляд, чем такой объем «опубличенных» данных о многих людях может быть чреват сейчас и в будущем?

Павел Кузнецов: Основной риск, который я вижу, это расширение возможности для злоумышленников. Имея больше данных о жертвах либо о контактах жертв, преступники получают возможность более качественно подготовиться к атаке и, в первую очередь, основывать социотехнические методы на реальных фактах. Не пытаться атаковать человека формулой «Ваш сын попал в беду» наугад, когда на самом деле у жертвы вовсе нет детей, а точно узнать какие родственники у нее есть.

Киберкультура и осторожное обращение со своими данными становятся с каждым днем все важнее и важнее. Каждому из нас нужно четко понимать, какие данные и какому источник мы предоставляем, чтобы быть готовым к попытке злоумышленников эту информацию против нас использовать.  

Cyber Media: Насколько вообще наличие данных о пользователе, который осведомлен о правилах кибергигиены и понимает, какие данные о нем есть в сети, критична для человека?

Павел Кузнецов: У меня есть любимая формула – если ты знаешь, что о тебе знает злоумышленник, то ты уже в достаточной степени вооружен для противодействия атакам. Поэтому для человека, который обладает высоким уровнем цифровой гигиены, риск того, что какая-то атака пройдет на него или его близких в значительной степени снижается.

Во-первых, человек сам следит за тем, какие данные он дает каким операторам. Как правило, он помнит все эти места. Более того, такие люди выступают евангелистами в своем ближайшем кругу и своих старших родственников стараются держать на своем уровне осознания проблематики кибербезопасности. Если данные такого человека куда-то утекают и он сам и его ближайшее окружение в ближайшей степени предупреждено о том, что злоумышленники могут попытаться этими данными воспользоваться.