Подписаться
Читать в телеграм
Как государство мотивирует бизнес защищать информацию клиентов?
Кто должен нести ответственность за утечки?
Что общего у производителей топоров и DLP-систем?
1 июня в Москве прошел традиционный ИБ-форум DLP+. Поводом для одного из самых горячих обсуждений на мероприятии стал новый законопроект, ужесточающий ответственность бизнеса за утечки персональных данных клиентов. Он предполагает введение оборотного штрафа в 1% и увеличение его до 3%, если компания попытается скрыть инцидент. На эту тему активно спорили участники ключевой сессии «Текущие технологии, новейшие угрозы. Как правильно бороться с инсайдерами». JETINFO рассказывает о плюсах нового закона и подводных камнях, с которыми может столкнуться бизнес.
Мотивация для бизнеса
«Раньше утечки были исключительно делом компании и клиентов, чьи данные были украдены. Теперь ситуация изменилась: любой инцидент подхватывается СМИ и может использоваться как средство дискредитации бизнеса. При этом для конкретной компании ущерб от реализации риска все еще может быть меньше стоимости его нивелирования. Поэтому регулирование в этой сфере необходимо», — начала сессию Галина Рябова, директор центра продуктов Solar Dozor, «Ростелеком-Солар».
Эксперта поддержал Артём Шейкин, член Комитета Совета Федерации по конституционному законодательству и государственному строительству. Артем отметил, что текущие штрафы (до 100 000 руб.) для крупных компаний ничтожны, поэтому только новые законодательные меры могут мотивировать бизнес заботиться о данных клиентов.
Далеко не все участники сессии согласились с этой позицией. Виталий Терентьев, CSO и GR-директор HeadHunter, озвучил диаметрально противоположное мнение. «Я не верю, что штрафы сделают бизнес ответственнее. Компании, работающие с персональными данными, и так теряют огромные деньги в случае утечек, ведь они теряют лояльность клиентов. Бизнес уже вкладывается в средства ИБ-защиты, но никто не отменяет риски, связанные с человеческим фактором. Большинство утечек — это люди, а не техника. В основе массы инцидентов лежит социальная инженерия: никто не может гарантировать, что один из сотрудников не станет жертвой фишинга. Введение дополнительных штрафов не сильно повысит безопасность данных, зато бизнес начнет применять драконовские меры в отношении людей», — прокомментировал спикер.
Виталий также отметил, что вопрос о защите персональных данных нельзя обсуждать только в разрезе коммерческих компаний. Госсектор тоже страдает от утечек — в сети можно найти даже базы данных уголовных дел. Но если предполагаемая ответственность коммерческой организации — это 3% оборота плюс внутренние меры в отношении виновника инцидента, то государственной — только увольнение ответственного лица.
«Ответственность государственного и коммерческого секторов должна быть соизмерима. Я согласен, что ее нужно увеличивать (в каком-то смысле это даже поможет безопасникам выбивать необходимые ресурсы). Но категорически не согласен с инструментом, который планирует использовать государство», — подчеркнул представитель HeadHunter.
Идею Виталия развил Игорь Каландадзе, руководитель направления защиты информации и ПДИТР госкорпорации «Ростех». По мнению спикера, для небольших бизнесов, которым и так тяжело в условиях ограничений, оборотные штрафы в 1% могут стать критичными. Кроме того, новые меры открывают возможности для коррупции. «Мне кажется, нужно сконцентрироваться на персональной ответственности человека, допустившего утечку, будь то злоумышленник или сотрудник компании. Когда ответственность несет бизнес в целом, она размывается», — добавил Игорь.
Экспертам оппонировал Евгений Хасин, заместитель директора Департамента обеспечения кибербезопасности, Минцифры России. По его словам, новые меры помогут подсветить риски утечек. Персональная ответственность для сотрудников и злоумышленников есть и сейчас, репутационные издержки тоже, но это не всегда мотивирует бизнес выделять ресурсы для обеспечения ИБ. Теперь ситуация изменится.
«Большие компании уже вкладываются в ИБ. Всегда ли это помогает? К сожалению, нет, но зачастую помогает, и это важно. Наша задача — организовать вокруг этого тренда набор регуляторных мер. Крупный бизнес будет понимать, что утечка приведет к серьезным финансовым потерям. А маленьким компаниям, которые пока находятся на старте, эти меры укажут: вы развиваете ИТ-инфраструктуру, не забудьте, пожалуйста, позаботиться о ИБ», — рассказал Евгений.
Василий Лесной, исполнительный директор-начальник отдела Центр киберзащиты, ПАО Сбербанк заметил, что внедрение DLP-системы еще не гарантирует безопасности данных клиентов. Не меньшее внимание нужно уделять повышению киберграмотности сотрудников.
«Несмотря на всю эшелонированную защиту, которую мы выстроили за последние годы, я как эксперт могу придумать еще пару способов, как забрать данные наших клиентов. Что с этим делать? Повышать киберграмотность сотрудников. Мы провели пилот: разложили по ресурсам, с которыми постоянно работают бизнес-пользователи, синтетически подготовленные “ценные данные”. Нам хотелось узнать, попробует ли кто-то из сотрудников их использовать, и если да, то как именно. На тот момент в банке уже был достаточно высокий уровень ИБ-грамотности, поэтому часть пользователей просто удаляла эти данные, кто-то сразу обращался к руководителю, а некоторые писали в ИБ-службу и просили разобраться, почему информация лежит там, где ее быть не должно. Поэтому киберграмотность предельно важна в контексте предотвращения утечек», — отметил Василий.
Разделение ответственности
Не менее активно участники сессии обсуждали вопрос ответственности за утечки данных. Если компания приобрела решение, «дыры» в котором привели к инциденту, кто должен платить штраф — покупатель или поставщик ИБ-продукта? Может ли в этом случае бизнес доказать свою невиновность в суде?
«Если компания разрабатывает неэффективное ПО, скорее всего, скоро у нее не останется клиентов. Поэтому все мы стараемся создавать качественные продукты. Это неформальная ответственность, которую мы, само собой, принимаем. А вот юридическую ответственность нужно четко разделять. Приведу простой пример. Производитель топора не должен нести ответственность за то, как им воспользуется покупатель. Он должен донести до человека информацию: топор острый, он может быть опасен. Что и как будут им рубить — зона ответственности покупателя. Так и умение пользоваться ИБ-продуктом — зона ответственности клиента. Естественно, мы как вендор предлагаем разные пакеты услуг, в том числе включающие консалтинг и обучение специалистов. Мы объясняем заказчикам, почему это не менее важно, чем покупка самого продукта. Но насильно, как говорится, мил не будешь», — рассказал Алексей Раевский, генеральный директор Zecurion.
Виталий Терентьев, CSO и GR-директор HeadHunter, добавил: вопрос разделения ответственности за утечки необходимо четко проработать в том числе потому, что новые меры могут использоваться для ведения нечестной конкурентной борьбы. «В сложных условиях люди идут на странные решения. Предполагаю, что компании могут нанимать “интересных ребят”, которые будут специально организовывать массовые утечки у конкурентов. Проще говоря, оборотные штрафы будут использоваться как инструмент давления. Если кто-то захочет любыми способами завалить конкурента, такой кейс вполне возможен», — отметил эксперт.
