Алексей Плешков
У нас в студии Global Digital Space по следам эфира «Утечки информации: за что боролись и с чем боремся сейчас?» мы поговорили с Алексеем Плешковым с чем связан рост утечек, как с этим бороться, кто должен нести ответственность за персональные данные и как поменялась картина на российском рынке, связанном с утечками информации.
Сегодня у нас горячий, интересный эфир на любимую всеми нами тему утечки информации. Связано это с тем, что в последние несколько месяцев утечки появляются практически каждый день. Давайте поговорим на эту тему подробнее. С чем это связано? Как с этим бороться? Как меняется ситуация на российском рынке?
Тема утечек была поднята и развивалась очень давно, но в связи с определёнными событиями она становится всё более и более актуальной.
Если раньше утечки информации казались чем-то внешним, не касающимся конкретной организации или конкретного человека, то после событий пандемии, когда российское общество столкнулось с массовыми кибератаками со стороны злоумышленников, которые используют утекшие данные для совершения провокаций и обманов физических лиц с помощью методов социальной инженерии, стало понятно, что сама утечка является сильной базой для совершения всё более и более жестоких и финансово затратных атак с нанесением ущерба для физлиц, атак на людей.
Поэтому эта тема понятная, интересная и актуальная.
Особенно сейчас, когда мы наблюдаем существенное усиление инструментов, связанных с информационной войной со стороны наших западных партнёров, со стороны прополитических кибергруппировок, а также со стороны злоумышленников, которые находятся внутри нашей страны, но пользуются всей этой ситуацией для личного обогащения.
Поэтому та информация, которая ранее утекла, которая ранее была опубликована на закрытых форумах в интернете, сейчас становится всё более востребованной, актуальной, и за счёт этого, выходя в открытый сегмент интернета, фиксируется факт утечки информации.
Но чаще всего бывает, что информация утекла гораздо раньше, просто об этом не было известно.
К сожалению, специалисты по ИБ очень часто считают, что, если им неизвестно о том, что у них что-то утекло, значит они работают хорошо, и у них всё в порядке.
Я не разделяю такую позицию. Если я о чём-то не знаю, то это означает, что я не до конца владею ситуацией внутри своей организации, не владею всеми инструментами, как техническими, так и организационными, и нет смысла говорить о том, что у меня всё хорошо ровно потому, что я об этом не знаю. Необходимо проводить как меры, связанные с выявлением причин утечки, так и меры, противодействующие утечкам. Так называемые “превентивные меры”.
Даже если у вас не было публичных утечек, вы должны проводить мероприятия, направленные на недопущение этих утечек исходя из ситуации на рынке.
Потому что сегодня вы не являетесь целью злоумышленников, а завтра можете ей стать. По разным причинам. Злоумышленников интересуют самые разные данные.
В моей практике работы были базы. Например, база посетителей музея, которая продавалась на чёрном рынке, но она была расширена паспортными данными, поскольку в период пандемии для регистрации на определённые мероприятия требовались паспортные данные, номерами телефонов, датами актуальных информаций. То есть это фактически та же самая информация, которую злоумышленники использовали для телефонного мошенничества, но источником выступал определённый музей.
Или же ситуация, связанная с продажами стиральных машинок в определённом магазине электроники. Кому оно надо, да? Но! Важный аспект: злоумышленники так же строили свои атаки на том, что информация утекла из магазина электроники, сообщая клиенту: “Вот мы такого-то числа в таком-то магазине купили машинку. Это были вы? Эта операция прошла с ошибкой! Давайте мы обсудим, и если вы считаете, что операция нормальная, но всё ещё ждёте машинку, то сделайте следующие действия…”, и дальше уже начинался стандартный скрипт, направленный на провокацию. То есть фактически эта информация использовалась для повышения уровня доверия жертвы к злоумышленнику в телефонном разговоре. Необычный подход. Казалось бы, что самая простая и никому не нужная информация.
Поэтому это две базовые иллюстрации, которые говорят о том, что любая информация, утекшая у, казалось бы, самой простой организации, может быть использована злоумышленниками как база для реализации сложных комплексных, иногда таргетированных кибератак.
Вы говорили о том, что надо внимательно относиться к собственным персональным данным. Это цифровая гигиена. Цифровая гигиена должна быть с точки зрения вендоров, или в том числе потребителя, частных лиц?
Сложное понятие – цифровая гигиена. Оно затрагивает всех. И операторов персональных данных, и субъектов персональных данных. То есть тех лиц, чьи персональные данные обрабатываются в той или иной организации и используются для совершения тех или иных операций. А также это касается в целом процесса, в котором должны быть предусмотрены нюансы, связанные как с безопасной обработкой, так и с ситуациями возможных утечек персональных данных: как на это реагировать, как их не допускать? То есть эти риски необходимо закладывать изначально при проектировании, при разработке того или иного продукта, той или иной системы, чтобы подложить соломку. “Предупреждён – значит вооружён!”
Специалисты по ИБ должны предупреждать разработчика, архитектора о том, что при выбранном сценарии существуют те или иные риски, которые повлекут за собой возможные утечки.
Даже при максимизации прибыли необходимо заранее понимать, где существует потенциальная утечка и предпринимать меры как внутренние, встроенные, так и компенсирующие для того, чтобы не допускать утечек уже в процессе либо предпромышленной, либо промышленной эксплуатации того или иного продукта или системы.
То есть я правильно понимаю, что это совокупная работа и вендоров, и заказчиков в том числе?
Это совокупная работа и вендора, который предлагает продукт заказчику, и непосредственно заказчика, который на базе этого продукта строит свой бизнес-процесс, а также это частично затрагивает осведомлённость и степень зрелости субъектов, то есть клиентов организации, которая использует продукт для совершения тех или иных операций.
Простой пример: Любой портал в интернете, использующий личный кабинет. В этом личном кабинете зачастую происходит регистрация. Так вот с точки зрения заказчика потенциально интересно и выгодно получить максимум информации о клиенте при регистрации. Это создаёт прецедент избыточности персональных данных, которые обрабатываются оператором при обслуживании.
Непосредственно архитекторы и специалисты по ИБ должны обозначить, что тот объём данных, который собирается, для данного бизнес-процесса является избыточным, влечёт за собой определённые риски, влечёт за собой определённые требования по обеспечению безопасности.
Тем самым надо исходить из принципа разумной достаточности и закладывать в требования не все возможные варианты сценариев, а только те, которые являются обоснованными и рациональными в данном случае для оказания тех услуг, которые требуются.
Совершенно необязательно получать сведения о родственниках, о детях, если мы говорим о персональном обслуживании на каком-то интернет-портале или же о регистрации на какое-то мероприятие.
Верно! Но в данном случае мы совершенно не говорим о том, что государство тоже должно влиять и регулировать эти процессы.
Сейчас есть разные кейсы и штрафы в том числе за утечки. Как вы считаете, эти меры эффективны? И куда надо смотреть государству и регуляторам, чтобы утечек информации стало меньше, чтобы защитить своё население?
Вопрос достаточно сложный, и просто на него, наверное, не ответить.
Здесь я бы хотел поднять одну точку зрения. Давайте представим, что этих мер нет вообще! В каком обществе мы бы с вами жили при отсутствии требований законодательства 152-ФЗ?
С 2006 года он существует, и с того момента уже шестнадцать лет происходят мероприятия как на стороне операторов, так и на стороне интеграторов и разработчиков, на стороне регуляторов. Мероприятия, нацеленные на минимизацию возможных ущерба и риска для субъектов.
То есть закон изначально разрабатывался как документ, защищающий права и свободы субъектов персональных данных в части использования идентифицирующих их признаков. Если бы этого закона не было, то мы бы с вами жили, по сути, в обществе уровня третьих стран.
Я не буду приводить географические размещения.
Тем не менее, это был бы достаточно сложный процесс управления и работы с данными, соответствующий достаточно низкой степени зрелости общества.
Россия в любом случае в этом вопросе является “догоняющим” государством, поскольку требования Закона “О защите персональных данных” изначально были сформулированы исходя из имеющихся уже в других странах конвенций, законов и требований. Они являются неким объединением, некой коллаборацией требований с учётом специфики и локализации для российского потребителя, для российских организаций, для российских субъектов.
Тем не менее, этот закон постоянно модифицируется. В него постоянно вносятся изменения, как прямые, так и косвенные. Если не ошибаюсь, порядка пяти раз он пересматривался, и вот буквально в этом году весной были внесены в ГД предложения по внесению дополнительных изменений.
Мы ожидаем, что он будет содержать больше рациональных требований, которые уже прошли свою апробацию. Например, на примере правил GDPR, опробованных на странах ЕС не повторять их, а именно адаптировать их с учётом российской специфики. И в первую очередь этот закон нацелен, как мне кажется, как эксперту, на обеспечение безопасности и повышения защищённости персональных данных при их обработке, как в автоматическом режиме, так и в бумажном виде.
Но на практике чаще всего встречается смешанный режим обработки информации, когда персональные данные обрабатываются как на бумаге, то есть на первичном документе – справке, документе с подписью клиента, так и в электронном виде – в системах, которые имеют как доступ в интернет, так и непосредственно связаны с внутренними процессами в организации.
То есть все эти аспекты в явном виде представлены в законе и конкретизированы в подзаконных актах, которые так же регулярно пересматриваются. Их присутствие формализует действия, которые совершатся в организациях с персональными данными, выстраивает некоторую системность и позволяет регулятору, назначенному государством, а именно Роскомнадзору, активно влиять на совершенствование процессов в организациях.
Ещё раз говорю: отсутствие этого документа или же его слабая проработанность возвращает наше общество, наше государство в состояние стран третьего мира!
