Информационная безопасность: смогут ли спецоператоры защитить персональные данные

| статьи | печать

Развитие цифровых технологий и широкое использование интернет-сервисов обостряют вопросы, связанные с информационной безопасностью. Одна из серьезных задач — защита персональных данных, широко используемых мошенниками в схемах обмана. Личные сведения обрабатывают множество организаций, но только ограниченное число могут обеспечить их надежное хранение. В Госдуме думают над тем, чтобы ввести категорию спецоператоров обработки персональных данных. Усилит ли этот институт защиту или приведет к новым рискам — разбираемся с экспертами.

Вопросы информационной безопасности стали одними из самых обсуждаемых на ИТ-завтраке ПМЭФ-2024 «Инновационная экономика: от цифры к данным, от технологического суверенитета к технологическому лидерству». На их актуальность в своем выступлении обратил внимание министр цифрового развития, связи и массовых коммуникаций Российской Федерации Максут Шадаев. «Ситуации кражи персональных, в особенности банковских, данных, требуют системных решений, и существует множество простых мер, которые помогут снизить уровень мошенничества и повысить безопасность. Планируется дальнейшее обсуждение обеспечения мер безопасности с Банком России и оперативное их внедрение», — сказал глава Минцифры.

В ходе мероприятия эксперты отметили узкие места, которые становятся в том числе причиной утечки данных. Так, Лев Матвеев, председатель совета директоров «СерчИнформ», указал, что причины массовой незащищенности российских компаний и государственных организаций от рисков информационной безопасности — дефицит ИБ-специалистов, низкий уровень внедрения полноценного комплекса ИБ-средств. «Необходимо современное, быстрое, качественное, но при этом доступное решение. Именно поэтому в 2019 г. мы вывели на рынок сервис ИБ, а в 2023 г. запустили франшизу», — отметил эксперт.

При этом он подчеркнул, что в этом вопросе необходима поддержка государства. «Если создавать Центры ИБ-аутсорсинга на государственном уровне, хотя бы просто под свои же структуры, — защита от внутренних угроз в стране выйдет на качественно новый уровень. Наладив эталонную защиту в российских компаниях и государственных учреждениях, наша страна может захватить технологическое лидерство в области внутренней ИБ и стать экспортером информационной безопасности», — считает спикер.

Директор Координационного центра доменов. RU/.РФ Андрей Воробьев подчеркнул, что в последние годы с расширением доменного пространства сохраняется тренд на увеличение числа угроз в сети, связанных с противоправным использованием системы доменных имен, в частности фишинга. Тренд не только российский, но и общемировой, что подтверждается числом обращений, ежегодно и ежемесячно направляемых через систему «Доменный Патруль».

Для защиты пользователей необходимо продвигать все возможные решения — от инфраструктурных до организационных, от законодательных до саморегуляторных. «Координационный центр планирует и дальше делать все возможное в технических, организационных и образовательных направлениях для поддержания безопасности национальных доменных зон и всего интернета», — сказал А. Воробьев.

Обозначены были на ИТ-завтраке и риски, обусловленные использованием зарубежных решений. «Если говорить про пользователей в широком смысле, да, все движется в SaaS. Очень удобно, сервис под ключ. Знает ли пользователь, что под капотом у этого SaaS-сервиса? Где размещаются персональные данные его клиентов, которые он доверяет этому SaaS-сервису? В России, за рубежом, как они охраняются, кем обрабатываются, насколько они защищены? Нет, не знают. Мы посмотрели, взяли доменную зону RU, взяли те домены, которые хостятся за пределами Российской Федерации. 56% таких доменов — это SaaS-сервисы типа конструктора сайтов, „сайт для фотографа за пять минут“ и прочее», — отметил генеральный директор RU-­CENTER Андрей Кузьмичев. Он обратил внимание, что в случае любых отключений, блокировок, добровольного ухода зарубежных игроков с нашего рынка пользователи пострадают. Но сейчас де-факто они даже не понимают, каким рискам подвергаются.

Поправки, призванные решить накопившиеся задачи и повысить информационную безопасность, сейчас обсуждаются в Госдуме. «Сегодня также прозвучал еще один очень важный вопрос: многие операторы персональных данных не в состоянии качественно защищать данные граждан, и это объяснимо, поскольку с формальной стороны, согласно закону, оператором персональных данных является любой, кто их обрабатывает. Если в стране более 5 млн юридических лиц, включая ИП, то каждый из них является оператором персданных, не говоря уже про детские сады, школы, гостиницы. Очевидно, что половина из этих операторов не смогут качественно защитить эти данные пользователей», — сказал в рамках своего выступления председатель комитета Государственной Думы РФ по информационной политике, информационным технологиям и связи Александр Хинштейн.

В связи с этим профильный комитет Госдумы совместно с Роскомнадзором и Минцифры прорабатывают вопрос введения категории спецоператоров обработки персональных данных, работающих по принципу условного банковского хранилища. Инициатива по организации института спецоператоров обработки персональных данных обсуждается давно, но вызывает неоднозначную реакцию у экспертов. Почему? Читайте в комментариях.


К сведению

Возможности и риски ИИ-решений

Искусственный интеллект сегодня находит практическое применение во многих отраслях. Грамотное и профессиональное использование механизмов и решений ИИ может привести к взрывному развитию экономики. Об этом заявил Слава Ходько, советник директора Фонда Росконгресс на пленарной сессии первого Национального форума «ИИ — будущее сегодня», который прошел на полях ПМЭФ-2024. При этом эксперт обратил внимание, что развитие ИИ в среднесрочной перспективе содержит много неопределенностей и рисков.

Открывая сессию, Валентин Макаров, президент НП «РУССОФТ», напомнил, что за последний год в России приняты важнейшие документы, определяющие вектор деятельности государства по развитию и внедрению технологий ИИ, и этот вектор инициирован прежде всего Президентом РФ. В программе обозначены высокие целевые показатели развития ИИ в России.

Но развиваться этот рынок может еще быстрее. «По результатам опроса ИТ-компаний, ИИ является трендом № 1 в области ИТ, и это не просто дань моде и первичному хайпу генеративного ИИ, а результат серьезных разработок в области „промышленного ИИ“ для ведущих корпораций. Именно он может стать наиболее значимой сферой применения технологий ИИ, так как по своим объемам превышает рынок генеративного ИИ, что доказывает Карта компетенций поставщиков решений в сфере ИИ от РУССОФТ», — отметил В. Макаров.

Он подчеркнул, что достичь мирового лидерства только за счет продаж своих ИИ-решений на сравнительно небольшом российском рынке — невозможно. Для этого необходимо создавать стратегические партнерства со странами БРИКС и продвигать свои ИИ-технологии на дружественные рынки.

Александр Бухановский, научный руководитель исследовательского центра «Искусственный интеллект в промышленности» и директор Мегафакультета трансляционных информационных технологий Университета ИТМО, отметил, что ИИ в промышленности является не только механизмом сокращения издержек, но и генератором новых источников дохода, в том числе повышения инвестиционной стоимости за счет кардинального сокращения времени технологических переделов. Как следствие, растет интерес к применению ИИ для автоматизации создания цифровых двойников, генеративному дизайну объектов и систем реального мира, для поддержки креативной инженерной деятельности, а также ускорения инженерных расчетов. «Системное внедрение этих технологий требует массовой подготовки отраслевых специалистов в сфере ИИ, что возможно только в тесном взаимодействии университетов и индустрии», — сообщил эксперт.

По мнению Евгения Абакумова, директора по информационной инфраструктуре Госкорпорации «Росатом», в ближайшем будущем невозможно будет себе представить экономику страны без компаний, использующих решения на базе искусственного интеллекта. «Сегодня мы видим активное развитие генеративных сетей, наблюдаем первые подходы к созданию „сильного ИИ“. Конвергенция интернета вещей и искусственного интеллекта в будущем, безусловно, позволит изменить наше понимание о производственных процессах. Однако говорить о демократизации технологии пока рано. Помимо этого, нам необходимо задуматься над вопросом обеспечения технологической независимости комплекса решений, ответственных за функционирование искусственного интеллекта», — отметил спикер.

Хотя основные продукты по-прежнему доступны в режиме open source, концентрация ИИ-инструментов сегодня происходит в нескольких глобальных центрах. «Россия — редкий пример страны, которая обладает собственной инфраструктурой, мощными проприетарными моделями и большим спектром прикладных кейсов от ИИ-стартапов. И в этом как раз критически важная роль венчурных инвесторов — находить и поддерживать эффективные индустриальные имплементации ИИ, с правильным дизайном обучения, качеством подготовленных выборок, ансамблем моделей», — отметил Евгений Борисов, партнер инвестиционной компании KAMA FLOW.

«В России уже многое сделано на уровне поддержки для малых технологичных компаний в форме специализированных ИИ грантов и субсидий, и мы надеемся, что в рамках исполнения поручения президента 1619 п. 8 будут сняты барьеры и простимулирован спрос на рынках капитала для отечественных компаний разработчиков решений на базе ИИ и крупного бизнеса, который внедряет такие решения», — сказала Мария Романцова, управляющий директор по долговым рынкам капитала «ФИНАМ». По ее словам, 2024 г. — это мировой год IPO-компаний из сферы ИИ. Большой интерес к новым прорывным технологиям проявляют и инвесторы во всем мире. 

Как вы оцениваете инициативу по введению категории спецоператоров обработки персональных данных?

Комментарий эксперта

Введение подобной возможности — сдать свои ПД на хранение специальному оператору — это хорошая возможность для средних компаний защитить свои данные, так как их у них уже довольно большой объем, а средств на полноценную защиту еще нет. Небольшие компании также, вероятно, воспользуются данной возможностью, если тарифы и способ обработки данных им подойдет. Тут все больше будет завязано на способности операторов продать такую услугу и встроить ее в бизнес-процесс небольшой компании.

Крупные компании, скорее всего, просто создадут отдельные юридические лица, передадут на хранение данные туда, и в случае их утечки штраф будет наложен на оператора, а не на владельца. В целом — это хорошая инициатива, которая предоставляет вариант выбора для компаний и создает новое экономическое направление в части предоставления услуг в сфере ИБ. Однако такие специальные операторы должны быть под усиленным надзором контролирующих служб, так как в случае утечки данных из подобного хранилища наступит недопустимое событие для всех клиентов оператора. К сожалению, это обратная сторона централизации хранения данных, и надо учитывать подобные риски при предоставлении такого рода услуг.

Комментарий эксперта

Как и большинство специалистов, мы относимся к данной инициативе с настороженностью. То, что этот шаг сможет на практике повысить уровень защиты персональных данных, довольно сомнительно.

Во-первых, сейчас почти все бизнес-процессы в компаниях любого масштаба так или иначе связаны с обработкой персональных данных. Введение категории спецоператоров и передача им «на хранение» персональных данных никак это не изменит. То есть субъекты малого и среднего бизнеса продолжат обрабатывать значительные объемы персональных данных в рамках своей деятельности, а, соответственно, риски утечек по их вине никуда не денутся.

Во-вторых, само утверждение, что крупные компании более защищены от утечек персональных данных, довольно спорно. Даже если посмотреть просто на новостные сводки, сколько сообщений об утечках именно от крупных компаний мы видели за последнее время?!

Кроме того, именно крупные компании являются наиболее заманчивой мишенью для хакеров. А спецоператор, который получил до этого данные от пары сотен мелких операторов, так вообще станет заветной добычей, на «поимку» которой злоумышленники готовы будут тратить огромные ресурсы.

К сожалению, в современном мире совсем избежать утечек персональных данных невозможно. Компании — операторы персональных данных могут только принимать меры по снижению рисков таких утечек.

Учитывая, что в России уже существует довольно обширное, сложное и часто неоднозначное законодательство в этой области, наиболее правильной, на наш взгляд, стратегией было бы уточнение и разъяснение уже существующего регулирования, а также повышение информационной грамотности граждан. Последний аспект в нашей стране почему-то всегда недооценивался, хотя именно человеческий фактор остается ключевой причиной многих утечек.

Согласно доступной информации, спецоператор будет обрабатывать данные других операторов за плату. Почти никаких других деталей пока не известно. Индустрия, в частности, задается сейчас такими вопросами, как: будет ли передача данных спецоператору обязательной; как будет распределяться ответственность между спецоператором и передающим оператором; будут ли как-то регламентированы цены на услуги спецоператоров?

Комментарий эксперта

Инициатива по введению категории «Спецоператор обработки персональных данных» актуальная и своевременная. Данная мера может стать важным шагом в повышении уровня защиты персональных данных граждан. Однако реализация данной инициативы — очень сложная задача.

Введение спецоператоров затронет все организации в России, которые так или иначе обрабатывают персональные данные своих сотрудников, клиентов или контрагентов. Многим компаниям придется значительно изменить процессы работы с персональными данными и выделить дополнительные средства на соблюдение новых требований.

На рынке может возникнуть ситуация монополии, когда небольшое число спецоператоров будет обладать исключительными правами на обработку персональных данных. Это может негативно отразиться на конкуренции и привести к повышению стоимости услуг по обработке данных.

Для успешной реализации концепции спецоператоров на государственном уровне необходимо актуализировать стандарты и требования к защите персональных данных. Также необходимо разработать подробные руководства по работе спецоператоров. Возможно создание системы аккредитованных коммерческих структур, которые смогут проводить независимую экспертизу и выдавать заключения о соответствии организаций новым требованиям.

Международный опыт защиты персональных данных, например в рамках Общего регламента ЕС по защите данных (GDPR) или Калифорнийского закона о защите прав потребителей (CCPA), может быть не вполне применим в России. Действующие в нашей стране требования к защите персональных данных уже являются довольно жесткими.

Механизм работы спецоператоров может быть выстроен по принципу «условного хранилища» персональных данных. Компании будут передавать их спецоператору, который обеспечит им надежную защиту и предоставит доступ к ним по защищенным каналам связи. Однако полная передача функций по обработке персональных данных сторонним организациям для многих компаний может быть затруднительной из-за соображений контроля, осознанности рисков и финансовых затрат.