Персональні дані на практиці залишаються беззахисними, Криптографія, Security & Hack, статті

Витоку персональних даних, величезна кількість яких зосереджена в інформаційних мережах російських компаній, призводять до серйозних фінансових і репутаційним витратам. У корені явища лежать декілька причин, не остання з яких – практичне невиконання законодавчих нормативів у сфері захисту персональних даних.


Як показує практика, увага компаній до яких би то не було проблем залежить від масштабу цих проблем та їх впливу на бізнес. Захист персональних даних в цьому плані не виняток. У загальному випадку, чим більше відомостей зберігають і обробляють компанії, тим вище ризики, відповідальність і стурбованість менеджменту за збереження даних.


За даними дослідження, проведеного компанією Perimetrix, більше половини російських компаній (52%) обробляють понад 10 тис. записів персональних даних. Витік такого обсягу інформації – це далеко не локальний інцидент, оскільки групу ризику становить кількість людей, порівнянне з населенням невеликого міста. Очевидно, що в разі несприятливого результату втрати обчислюються не лише сумою в грошовому еквіваленті з великою кількістю нулів – наноситься збиток і репутації компанії.


Кількість записів ПД в російських компаніях


 


 


 


 


 


 


 


 

 

Джерело: Perimetrix, 2008


Приблизно кожна шоста російська компанія (15,3%) обробляє персональні дані більше 1 млн осіб. Це і державні установи, і великі комерційні компанії. Якщо таке підприємство представлено на фондових ринках і про витік інформації з нього стане відомо, акції миттєво втратять в ціні: інвестори не стануть чекати закінчення розслідування інциденту.

Захищеність персональних даних

За даними світової статистики про інциденти в сфері ІБ, близько 90% всіх витоків так чи інакше пов’язані з діями персоналу. Таким чином, чим більше співробітників володіє доступом до масивів персональних даних, тим вище ризики витоку.

Хто має доступ до масивів ПД?

 

 

 

 

 

 

 

 

 

У діаграмах сума часток більше 100%, оскільки респонденти мали можливість вибрати кілька варіантів відповіді.


Джерело: Perimetrix, 2008


Теоретично міркуючи, доступ до масивів персональних даних варто було б обмежити службою безпеки. Однак у більшості випадків (57,6%) доступ до інформації є і у ІТ-персоналу. Це пов’язано з особливостями російського бізнесу, в якому сфери відповідальності ІТ та ІБ часто не розділяються.


Теоретично міркуючи, доступ до масивів персональних даних варто було б обмежити службою безпеки. Однак у більшості випадків (57,6%) доступ до інформації є і у ІТ-персоналу. Це пов’язано з особливостями російського бізнесу, в якому сфери відповідальності ІТ та ІБ часто не розділяються.


Крім того, загрозу витоку персональних даних несуть топ-менеджери (21,9%) та аналітики (18,5%). Перші, відрізняючись високим рівнем недбалості, нерідко мають повний доступ до корпоративних ресурсів, який їм відкривають ІТ-спеціалісти, щоб уникнути конфліктних ситуацій. У других, як правило, невиправдано широкий рівень доступу. Для вирішення більшості завдань аналітикам досить знеособлених статистичних вибірок, а не масивів реальних персональних даних.


Окремої згадки заслуговують call-центри та служби технічної підтримки. Імовірність витоку даних через них дуже висока, оскільки співробітники цих відділів звичайно не відрізняються високою лояльністю і не завжди достатньо компетентні в сфері безпеки. Проблема, пов’язана з подібними ризиками, усувається досить просто: обмеженням доступу до масивів даних. “Злити” персональні дані мільйона людей поштучно дуже непросто.


Якщо порівняти захищеність персональних даних та інформації, яка становить комерційну таємницю, можна зробити два висновки. По-перше, російські компанії розуміють важливість захисту персональних даних і захищають їх не гірше, ніж комерційну таємницю. По-друге, безпека обох типів інформації перебувають на однаково низькому рівні.

Захищеність ПД в порівнянні з комерційною таємницею

 

 

 

 

 

 

 

 

 

Джерело: Perimetrix, 2008


За даними дослідження, “Інсайдерські загрози в Росії 2008”, два найбільш дієвих класу систем захисту – рішення для шифрування даних в місцях зберігання і комплексні продукти по захисту від витоків – мають вкрай низький рівень проникнення (36% і 24% відповідно). Інші системи безпеки займаються захистом виключно від зовнішніх вторгнень.

Доступ до ПД ззовні

 

 

 

 

 

 

 

 

Джерело: Perimetrix, 2008

Ще одну загрозу персональних даних представляє доступ до інформації з боку партнерів і аутсорсингових партнерів. Хоча в Росії культура аутсорсингу порівняно слабо розвинена, тільки дві третини (64,3%) вітчизняних компаній мають монопольний доступ до персональними даними, 24,7% організацій діляться інформацією з дочірніми і материнськими структурами, що залишилися 11,1% несуть ризики витоку інформації через партнерів по повній програмі.

Персональні дані і законодавче регулювання


Використання персональних даних у вітчизняних організаціях жорстко регулюється законодавством за допомогою федерального закону “Про персональні дані”. Цей документ, основною в даній сфері, вступив в дію 30 січня 2007 року і, по суті, являє собою перелік найбільш загальних високорівневих вимог до захисту персональної інформації. В силу того що конкретні деталі в законі не розглядаються, він у його нинішньому вигляді майже не може застосовуватися в бізнесі. Без конкретики цей норматив навряд чи має сенс, залишаючись лише набором загальних рекомендацій.


Публікація конкретизують нормативів – не єдиний спосіб пожвавити цей мертвий закон. В кінці 2007 року був призначений орган (“Россвязькомнадзор”), відповідальний за реєстр операторів персональних даних, і стартувала його розробка. Через чотири місяці представники регулятора оголосили про створення реєстру і закликали всі російські компанії внести туди свою інформацію. До середини листопада 2008 року в реєстрі містилися відомості майже про 25 тис. операторів персональних даних.


Зростання стурбованості російських компаній впливом федерального закону побічно підтверджується статистикою. Більшість фахівців (79,7%) вже намагалося вникати в положення ФЗ і замислювалися про його можливе вплив на бізнес. Решта 20,3% респондентів мають про закон туманне уявлення або зовсім з ним не знайомі.

Поінформованість фахівців про ФЗ “Про персональні дані”

 

 

 

 

 

 

 

 

 

Джерело: Perimetrix, 2008

П’ята частина (20,3%) респондентів вважає, що їхні компанії повністю задовольняють вимогам закону. Ця впевненість навряд чи має під собою підстави, враховуючи розмитість вимог. Оскільки положення ФЗ можуть по-різному тлумачитися, до появи конкретизують нормативів заявляти про повну відповідність необачно. В даному контексті виглядають набагато ближче до дійсності повідомлення більше половини фахівців про те, що їхні компанії не виконують вимоги закону частково (46,3%) або повністю (11,1%).

Відповідність вимогам ФЗ “Про персональні дані”

 

 

 

 

 

 

 

 

 

Джерело: Perimetrix, 2008


В цілому оператори персональних даних готові слідувати федеральному закону, проте не до кінця розуміють, як саме це зробити. Більш того, учасники ринку вважають за необхідне не тільки виконувати положення ФЗ, але і робити більше, ніж пропонується, з метою захисту власників персональних даних. Зокрема, практично дві третини (65,3%) респондентів впевнені, що у федеральний закон має включатися вимога, згідно з яким підприємства будуть зобов’язані робити інформацію про витік ПД публічною. І тільки 18,5% фахівців вважають, що кожна компанія має право самостійно вирішувати, як чинити у випадку інциденту. Таку вимогу, вже діє в кількох західних країнах, завдає компанії значної шкоди в результаті витоку інформації. А значить, змушує приділяти безпеки більше уваги і підвищує роль відповідальних за неї підрозділів.


Які перспективи?


В цілому дослідження показало надзвичайну важливість і зростаючу актуальність захисту персональних даних. Сьогодні російські компанії обробляють величезну кількість інформації такого роду. У більшості випадків доступ до неї не контролюється, що призводить до високих ризиків витоку.


Законодавче регулювання захисту ПД до сих пір практично не працює, а ФЗ “Про персональні дані” як і раніше висуває тільки загальні та неконкретні вимоги. Кожна компанія трактує ці вимоги виходячи з власних міркувань, а іноді – просто їх ігнорує. Правозастосовча практика щодо ФЗ відсутня, контроль над виконанням закону де-факто не проводиться.


Разом з тим російський уряд робить кроки для реанімації федерального закону і для здійснення контролю над операторами персональних даних. Оскільки ФЗ вже давно вступив в силу, російські компанії повинні бути готові до публікації конкретизують документів і появі контролю над виконанням закону. Звичайно, ця подія не може відбутися в один момент, однак і реалізація комплексу захисних заходів вимагає часу. Замислюватися про захист персональних даних необхідно вже сьогодні, впроваджувати захист – завтра, а післязавтра – спокійно спостерігати за сутичкою держави і менш далекоглядних компаній.

 

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*