Светлана Белова, IDX: Как только появится возможность легализовать рынок, утечек станет меньше

Светлана Белова, генеральный директор ООО «Системы управления идентификацией» (торговая марка IDX) и руководитель экспертной группы по защите персональных данных АУРД, рассказала Cyber Media, чем поможет бизнесу легализация рынка обмена данными и почему история со сливом данных из Яндекс.Еды слишком раздута.

Cyber Media: Если говорить об утечках из Яндекс.Еды и госорганов, например, данные сливаются из налоговой. Стоит открыть ИП, и начинают звонить из банков с предложениями открыть у них расчетный счет. Какие сейчас можно предложить решения, чтобы минимизировать эти риски?

Светлана Белова: Решение, которое позволяет не оставлять свои персональные данные при прохождении процедуры идентификации или удостоверения личности, — это стоящий на проходной человек, который обязан по регламенту посмотреть паспорт. В цифровом мире такого регламента нет. Регуляторы требуют совершения определенных операций идентификации, но как процедура должна пройти и какой «след» оставить, никто не регламентирует.

Однако можно представить механизм, который избавит многих участников процесса от необходимости хранить и защищать персональные данные, иметь статус оператора персональных данных.

Cyber Media: То есть, если кто-то заставит дать данные, это будет незаконно?

Светлана Белова: Да. К счастью, уже законодательно утверждены поправки в ФЗ №152, где вводятся меры по наказанию за принуждение к предъявлению персональных данных. Они вступают в силу с 1 сентября. В первом чтении Госдума приняла законопроект, который вводит ограничения на предоставление данных из ЕГРН только собственнику имущества.

Например, если Яндекс.Еда требует сообщить персональные данные и обещает в противном случае не доставить еду. Вот такого теперь быть не должно. Яндекс.Еде достаточно телефона и адреса доставки для оказания сервиса, ему даже имя не требуется. Или при покупке дивана нет никакой объективной необходимости предъявлять паспортные данные, но сейчас их требуют. Это станет незаконно.

Cyber Media: Потому что покупатель деньги платит... Вы упомянули механизм идентификации, при котором продавец не получает доступ к данным клиента. Как он может выглядеть?

Светлана Белова: Представим себе, что дистанционное удостоверение личности происходит предъявлением какого-то зашифрованного объема данных, а проверка содержания этого зашифрованного блока осуществляется на стороне соответствующего госоргана, ответственного за хранение и инициацию этих данных. Например, мне нужно предъявить паспорт, я его шифрую и отправляю провайдеру услуг, он отправляет это в МВД. МВД умеет расшифровывать такие послания, и оно сообщают продавцу: «Мы знаем этого человека. Не беспокойся и продавай ему спокойно.»

«Даже самый «надежный» администратор сети и баз данных может их слить, если ему посулят денег».

Cyber Media: А если слили данные из ГИБДД, это же госорганы. Как именно с государством регулировать защиту персональных данных?

Светлана Белова: Из ГИБДД сливают не сами госорганы, а люди, которые там работают. Тут проблема человеческого фактора. Даже самый «надежный» администратор сети и баз данных может их слить, если ему посулят денег.

Есть полярные решения обозначенной вами проблемы. Одно связано с максимальной закрытостью (= безопасностью). Данные передаются в зашифрованном виде и проверяются в авторитетном и доверенном (безопасном) источнике. Провайдер услуг (продавец) доверяет источнику и принимает решение о взаимодействии с пользователем на основании сообщений источника.

Другой вариант — пользователь сам предъявляет свои данные в открытом виде (и дает согласие на обработку персональных данных), понимая, на что он идет. При этом у него должна быть четкая мотивация и знание, зачем, кому и на какой срок он предоставляет свои данные. Такую мотивацию можно подпитывать бонусами или деньгами (например, в формате кешбэка).

А вообще история про Яндекс.Еду раздута. Если бы это был не Яндекс, возможно шуму было бы гораздо меньше.

Паспортные данные, сведения о регистрации, имени и телефоне — это не такая уж секретная информация. Её легко добыть.

Cyber Media: Я знаю человека, чей адрес оказался слитым, и он сильно испугался. Он работает дома и не знает, кто по этому адресу теперь к нему придет домой. Мне кажется, штраф в 60 тысяч рублей...

Светлана Белова: Вряд ли компенсирует те неприятности, которые ему сулит этот слив. Почему происходят сливы? Потому что находятся покупатели таких данных на черном рынке. Если бы был белый рынок, сливов было бы гораздо меньше.

Как только будет легализован рынок данных, утечек станет меньше. У компании появится возможность «торговать» данными легально и спрос на это есть. Но не на паспортные данные и адреса регистрации, а на информацию о том, куда посмотрел, что сегодня ел, в какое время гулял с собакой и каким кормом её кормил.

Интересна динамическая информация. Накапливать и хранить её у себя не имеет смысла, потому что она устаревает каждый день. Сотовые операторы уже хорошо зарабатывают на обработке вот этой динамической data, это большой реальный спрос.

Cyber Media: Это именно для маркетинга получаются данные?

Светлана Белова: Да. Ну а для чего их воруют? Своровав мой номер паспорта, с ним в-общем ничего и не сделаешь. Вот подделав мой физический паспорт, можно сделать.

Хуже обстоит дело с биометрией и тем списком услуг, который доступен по предъявлению биометрических данных. Там риски больше. Но Единая биометрическая система пока не работает в полной мере, объем содержащихся в ней данных незначителен.

Cyber Media: Что должен сделать бизнес, чтобы не было таких историй, как с Яндекс.Едой?

Светлана Белова: И бизнес, и регулятор должны двигаться в сторону легализации рынка обмена данными. Чтобы любой бизнес, который создал какой-то уникальный продукт, мог протестировать его на аудитории, чтобы стало возможно просто и легально получить данные, которые ему нужны, не нарушая при этом права и интересы субъектов персональных данных, являющихся единственными законными собственниками этих данных.

Cyber Media: После 24 февраля многие западные вендоры ушли. По вашей оценке, российский софт готов заменить их?

Светлана Белова: С точки зрения защиты персональных данных мы ничего не заимствуем. У нас свои регламенты защиты конфиденциальной информации, которые утверждает ФСТЭК.

Что касается ПО шифрования, то в РФ используются исключительно российские криптографические алгоритмы, и такое ПО может быть только отечественным.

Cyber Media: Как вы думаете, какие государственные инициативы будут в сфере защиты персональных данных внедрять?

Светлана Белова: Кроме 152-ФЗ «О персональных данных», который уже меняется в сторону ужесточения, думаю, что будут очень серьезные меры, ограничивающие или упорядочивающие схемы оборота персональных данных. Будет как-то меняться Закон «О связи», а также 115-й закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».