06.10.2016 | Мария Разумова

Персональные данные нарасхват

Информацию о 20 миллионах россиян продают на рынке и заказывают по интернету

Фото: shutterstock

Личные данные россиян превратились в ходовой товар, который достаточно легко раздобыть, но главное, что в утечках баз персональных данных из различных компаний и ведомств по-прежнему никто не виноват.

Вследствие утечки информации из разных компаний персональные данные двадцати миллионов россиян оказались в открытом доступе. Личные номера, домашние адреса и места работы собраны в единую базу, которую за небольшие деньги любой желающий может приобрести в интернете, на Горбушке, Савеловском и Митинском рынках. Эксперты полагают, что решить проблему помогут гигантские штрафы, средства по предотвращению утечек данных и «умные» системы доступа к персональным данным.

На флешке объемом в 42 гигабайта содержится информация о российских политиках, ВИЧ-инфицированных, сотрудниках секретных подразделений ФСБ и должниках кредитных организаций. Кроме того, на электронном носителе можно найти информацию, украденную у силовиков, - данные о международных террористах, о судимых за разные преступления и числящихся в федеральном розыске. 

По мнению директора Центра ИТ-исследований и экспертизы Академии народного хозяйства при Правительстве РФ Михаила Брауде-Золотарева отследить источник возникновения таких баз очень непросто. «Если бы источник был отслеживаемым, он бы не рисковал настолько серьезно карьерой и свободой, потому что это очень серьезное правонарушение. Вывод можно сделать однозначный: если базы появляются, значит отследить их невозможно», - считает эксперт. Брауде-Золотарев отметил, что во многих странах мира уже научились создавать механизмы, которые прекрасно предотвращают утечку данных. Он считает, что вместо того, чтобы обеспечить реальную деятельность в области информационной безопасности, внимание правительства нацелено на то, чтобы взять под контроль трафик россиян («Закон Яровой» для получения доступа спецслужб к переписке пользователей в приложениях WhatsApp, Viber, Facebook Messenger, Telegram, Skype и дешифровке трафика россиян в рамках борьбы с терроризмом). Эксперт спрогнозировал, что с ухудшением экономического положения в условиях кризиса риск утечки информации из силовых ведомств будет только расти. По мнению Брауде-Золотарева, разного рода базы будут появляться чаще, чем это было в последние восемь-десять лет. 

Как считает эксперт, утечка информации зависит от того, как проходит межведомственное сотрудничество при обмене персональной информацией.

«Представим ситуацию, что в важном ведомстве, например, в министерстве стопроцентная защита в этой области, но так сложилось, что, в министерство с просьбой предоставить данные обратилось другое ведомство, которому не смогли отказать, и информацию пришлось предоставить. Получается, что это неформальная процедура и заключено межведомственное соглашение об информационном взаимодействии. После того как данные ушли, произошла утечка не на рынок, а в другую спецслужбу, после чего сложно понять в дальнейшем, откуда именно данные утекли», - сказал Брауде-Золотарев. По мнению эксперта, эти «классические дырки» зачастую и становятся причиной утечки информации. Брауде-Золотарев видит решение проблемы в необходимости ужесточить правила оборота персональных данных в госсекторе. «Сейчас нормы слишком дозволительные, и их расширенное толкование позволяет ведомствам слишком легко с ними обходиться. Я думаю, с этого надо начинать. Определенный контроль по защите персональных данных у нас есть, но когда страна большая, а уровень несоблюдения законов слишком высок, то контрольных механизмов не хватает. Я считаю, что межведомственный обмен нужно ограничить теми случаями, которые прямо предписаны законодательством, и допускать межведомственные обмены следует лишь в случае прямых предписаний нормативных правовых актов», - отметил он.

Генеральный директор компании Zecurion Алексей Раевский считает, что информацию сливают злоумышленники из числа сотрудников, поскольку к рабочим базам данных имеют доступ много людей из ИТ-департамента и других отделов, а отследить такую утечку практически невозможно. «Есть специальные технические средства, которые в компаниях помогают предотвращать утечки. Они так и называются - «средства по предотвращению утечек», но дело в том, что сейчас сложилась парадоксальная ситуация, в которой этим организациям нет особого смысла пользоваться такими средствами, потому что они довольно дорогие, их надо внедрять, их нужно поддерживать и обслуживать. Помимо этого, нужны люди, которые будут контролировать их работу», - объяснил он. Эксперт считает причиной утечек данных отсутствие наказания для компаний, виновных в «сливе» информации. «Дело в том, что у нас нет в законодательстве никаких положений, которые бы наказывали за такие утечки. Пока в нашем законодательстве нет меры, которые предусматривают ответственность организаций за утечки, с мертвой точки ничто не сдвинется. Нужно ввести штрафы для организаций за то, что они допускают такие утечки. У нас есть закон о персональных данных, в котором прописано как они должны защищать организации. Там прописана ответственность за несоблюдение положения закона. Получается, что, если они все сделали по закону, но утечка все равно произошла, а так всегда и бывает, то к компании никаких претензий не будет, и с нее взятки гладки», - предположил он.

Штрафы, по мнению Раевского, должны быть очень серьезные, чтобы компания взяла ситуацию под контроль. По словам эксперта, в США штрафы за слив информации могут достигать десятков миллионов долларов, в зависимости от масштаба утечки. «В таком случае человек, который отвечает за защиту данных, будет понимать, что его организацию могут оштрафовать на очень крупную сумму. Это и заставит высшее руководство подойти к вопросу намного серьезнее, нежели сейчас», - подчеркнул эксперт.

Генеральный директор компании «Код безопасности» Андрей Голов считает, что каждой компании необходимо создать специальную систему управления с четкими предписаниями для каждого сотрудника. «В системе необходимо четко прописать, с какими данными какому сотруднику можно работать, а с какими - нельзя. Затем на каждом компьютере для каждого нужно ограничить доступ, следуя строго этим предписаниям», - сказал он. 

Эксперт комитета по безопасности Торгово-промышленной палаты РФ Ян Браницкий поставил в пример Пенсионный фонд (ПФР). Эксперт отметил, что на сегодняшний день фонд имеет лучшую систему защиты от утечек персональных данных. «Последние сливы информации из ПФР датируются 2008-2010 годами. После этого в свободном доступе ни разу не появлялась актуальная база пенсионного фонда, в отличие от всех остальных. Были базы МВД, ГИБДД, банков, страховых компаний. А в ПФР установлена такая система, что оттуда практически невозможно получить информацию. При правильной организации хранения информации можно добиться того, что утечек не будет», - заявил эксперт. Браницкий подчернкул, что избежать утечек можно лишь в том случае, если создать системы управления, которые позволят полностью контролировать малейшие действия сотрудников при обращении с конфиденциальными данными.

КОНТЕКСТ

21.10.2016

Утечка президента

WikiLeaks начала публиковать переписку Барака Обамы

Спасибо, что читаете нас!
Давайте станем друзьями:

Спасибо, не сейчас

24СМИ