Дня не проходит, чтобы в СМИ, в блогах не обсуждали бы очередную утечку информации, ее причины и, главное, последствия. Помню момент, когда вопрос защиты персональных данных (ПД) встал наиболее остро: переломной стала утечка из Сбербанка. И началось.
Но компании — виновники утечек чувствуют себя спокойно, их никто к ответственности не привлекает, а если и привлекают, то штрафы мизерные. Сами организации внедрять защиту от утечек не торопятся. Всё это ненормальная ситуация, и наказание за отсутствие защиты персональных данных должно становиться более суровым.
Говоря про ужесточение закона, я рассуждаю не только с позиции ИБ-эксперта, но и как собственник бизнеса, который считает рентабельность. Безопасность — это недешево. Для надежной защиты данных организациям необходим внушительный набор инструментов. Чтобы исключить утечку по вине сотрудников, нужны как минимум средства сканирования на предмет неправомерного хранения данных (класс решений eDiscovery) и система мониторинга передачи информации (DLP). Защита от внешних злоумышленников в минимальном наборе — это антивирусные программы, антиспам-фильтры, файерволы, IPS-системы. Сюда нужно плюсовать траты на ИБ-специалистов, без которых даже купленное в полном объеме ПО окажется чемоданом без ручки.
Тянут ли эти траты российские организации? Не всегда. Поэтому и требования к безопасности должны отличаться. Это позволит организациям защитить ПД, но не потратить на это всю свою прибыль и бюджет.
Поэтому нельзя идти с одной линейкой ко всем. Организации, которые обрабатывают ПД, я бы делил на три группы.
Первая категория — это крупный бизнес и федеральные государственные организации. Большинство собирает даже не базы, а супербазы, в которых содержится самая полная и критичная информация, в том числе биометрия и медицинские сведения.
Но пока закон не мотивирует компании защищать эти данные полноценно, поэтому даже антивирусы и файерволы стоят далеко не везде, DLP-системы — примерно у трети участников рынка. В госорганизациях цифры и того хуже, по госзакупкам и из общения с госструктурами видим такую картину: ПО либо совсем не установлено, либо установлено частично, либо не используется. Поэтому утечки тут чаще, чем в коммерческих компаниях, выявляются не технически, а кем-то, «третьей стороной». То есть пока журналисты, блогеры или активисты не напишут, об утечке ни сном ни духом!
Весь описанный выше набор защитного ПО доступен для подобных крупных организаций: у них хватает бюджетов, они могут обеспечить себя нужными специалистами. Но, видимо, не хватает стимула извне.
Вторая категория — небольшие, в основном региональные и муниципальные государственные организации. Это больницы, школы, университеты, суды, службы судебных приставов и другие учреждения, где миллионами скапливаются сканы паспортов, информация об имуществе, личной жизни, здоровье людей. Но представить себе укомплектованную полным арсеналом защитного ПО больницу или суд я не могу. Это утопия не только из-за недостаточных бюджетов.
В таких организациях нет экспертизы, нет людей, которые подскажут, как правильно защищать данные, что обязательно купить, а на что не надо тратить деньги. Нужно ли заставлять главврача заниматься еще и информационной безопасностью, собеседовать ИБ-специалистов, тестировать защитное ПО? Уверен, что нет. Мне как пациенту было бы спокойнее знать, что главврачи на это время не тратят.
Для таких организаций защита информации должна быть обеспечена со сторонней помощью — из специальной организации, некоего Центра информационной безопасности. Там будут работать профессионалы и возьмут на себя выбор, внедрение защитных решений и их эксплуатацию, предотвращение и реагирование на инциденты.
Похожая ситуация с малым и средним бизнесом. Что такое ИБ для таких компаний? Чаще всего что-то про абстрактных и далеких хакеров. Вопрос возникает всерьез, если главбух открыла вложение с вирусом-шифровальщиком или конкурент устроил DDoS на сайт.
В отличие от крупного бизнеса, малые компании не считают утечку данных репутационным риском, ведь слив сканов паспортов из небольшой гостиницы или поликлиники не впечатляют СМИ настолько, чтобы выносить инфоповод на первые полосы. Кроме того, МСБ часто сложно оценить целесообразность трат на защитные программы — окупятся ли?
В такой ситуации государство не может требовать от бизнеса покупать весь круг защитных решений, но может стимулировать МСБ к решению вопроса безопасности по модели сервиса. Те же центры информационной безопасности, о которых говорилось выше, могут оказывать услуги на коммерческой основе, обеспечивая компании нужным ПО, экспертизой, рабочими руками. Формат MSSP (безопасность как сервис) — естественный и привычный для компаний всего мира. А в наших реалиях для МСБ — единственно удобный и не разорительный.
Еще одно решение лежит в плоскости закона: нужно ограничить МСБ в избыточном сборе данных. Разрешить компаниям обрабатывать и хранить ПД только в том случае, если того требует закон (например, сбор паспортных данных при заселении в гостиницу), и не собирать их «на всякий случай» или потому, что так удобнее. Логика простая. Не можете, не хотите связываться с защитой ПД клиентов? Тогда не заставляйте их заполнять длинные анкеты для получения дисконтной карты, не сканируйте их паспорта на проходной и т.д.
В какой-то момент всем стало очевидно, что данные — это ценность, а за сохранность информации надо платить — как за пожарные извещатели или хорошую сигнализацию для защиты недвижимости. При правильном подходе — доработке закона, организации необходимой инфраструктуры для аутсорсинга ИБ и запрете на избыточный сбор данных — эта цена окажется подъемной для компаний любого размера и сферы.
Лев Матвеев — председатель совета директоров «СерчИнформ», член правления НП РУССОФТ, основатель Комитета по ИБ в рамках РУССОФТ
Позиция редакции может не совпадать с мнением автора
МОСКВА, ИЗВЕСТИЯ
Источник: arms-expo.ru
Добавить комментарий