Рецепты от стагнации и формализма в защите ПДн
Алексей Плешков, 06/02/25
В конце 2024 г. гипотетический эксперт по защите ПДн с профильным высшим образованием и многолетним опытом работы в отрасли мог бы сделать недвусмысленный вывод о полной незащищенности персональных данных граждан РФ. Почему так? Потому что наборы данных, идентифицирующие практически каждого россиянина, с высокой долей вероятности уже утекли в Интернет в период с 2022 г. по настоящее время. Наборы утекших ПДн накапливаются в Даркнете и трансформируются злоумышленниками под конкретные задачи в рамках какой-либо схемы мошенничества.
Автор: Алексей Плешков, независимый эксперт по информационной безопасности
Безотносительно к контексту инцидентов, количеству подтвержденных и не подтвержденных утечек в России, наличию опубликованных результатов расследований или количеству выданных регуляторами предписаний, у неравнодушных экспертов по информационной безопасности уже давно сформировалось мнение, что никто из представителей контролирующих работу операторов ПДн органов и регуляторов не смотрит на цифры глобально и не анализирует тренды в области защиты ПДн. Очень странное впечатление, нужно сказать. Выглядит так, что последнее время все чиновники предпочитают работать с конкретными инцидентами, заявлениями, обращениями граждан. Тогда как общую картину сверху отдельному исполнителю внизу иерархии увидеть проблематично.
"Роскомнадзор за девять месяцев 2024 г. зафиксировал 110 фактов утечек персональных данных, за аналогичный период 2023 г. – 145", – сообщили в ведомстве [1].
"В 2023 г. Роскомнадзор зарегистрировал 168 утечек персональных данных, из-за которых в открытый доступ попало больше 300 млн записей о россиянах." [2]
За девять месяцев 2024 г. общее количество подтвержденных наборов ПДн составило 338 млн единиц. Учитывая, что по состоянию на ноябрь 2024 г. на территории РФ проживает не более 150 млн человек, из которых четверть – это лица пожилого возраста и дети до 7 лет, только из официальной статистики видно, что данные практически каждого россиянина утекли в 2024 г. А сколько утечек окажется по данным неофициальных отечественных исследователей? А если к этому количеству приплюсовать статистику за два прошлых года, то картина получится совсем печальная.
На основе экспресс-анализа отчетов исследовательских лабораторий (Positive Technologies, "Лаборатории Касперского", InfoWatch), интервью представителей Роскомнадзора и руководителей финансовых организаций, публикаций в СМИ составлена наглядная инфографика.
Получается, что предположение гипотетического эксперта о наличии данных подавляющего большинства граждан РФ в доступе у злоумышленников не лишено смысла и подтверждено, пусть и косвенно, уважаемыми спикерами, статистикой регуляторов и публикациями в СМИ. И это немножко пугает.
Нужно ли защищать утекшие данные?
Существует расхожее мнение о том, что если ваши персональные данные уже утекли к злоумышленникам, то защищать их дальше не имеет смысла. Но это заблуждение. Предположим, что ваши ПДн стали известны широкому кругу лиц, мошенники несколько раз перепродали их в наборе на черном рынке и (или) попытались использовать их для совершения кибератаки на вас, ваших родных, друзей или коллег. Это не хорошо и не плохо – это факт. Нужна ли вам такая популярность? Скорее всего, нет. Значит, в ваших же интересах поддерживать конфиденциальность и защищать другие наборы данных, которые вы считаете чувствительными, или данные, которые вы создаете или формируете о себе по жизни.
Новые наборы ПДн имеют измененные реквизиты даты создания, сроки актуальности, признаки конфиденциальности и критичности. Например, в Сеть утекли данные вашего действующего паспорта. Плохо. Чревато инцидентами и ненужными вам заботами. Но в следующем месяце вы поменяли свой паспорт на новый (не важно, по каким причинам), и у вас появился новый актуальный набор ПДн в виде новых реквизитов вашего паспорта. С учетом предыдущего опыта компрометации ваши обновленные ПДн (реквизиты полученного нового паспорта) нужно защищать, обрабатывать и контролировать еще усерднее, чтобы они не утекли к злоумышленникам по сценарию старого паспорта.
Так что же можно "изменить в консерватории" для более эффективного противодействия утечкам ПДн в России в перспективе 2025–2026 гг.? Для ответа на этот вопрос представлю свои оригинальные экспертно-аналитические предложения.
Не только бумажные проверки
В настоящее время задача по проведению плановых проверок организаций операторов/обработчиков ПДн возложена на Роскомнадзор. До 2022 г., когда был наложен мораторий на проведение проверок, представители РКН – юристы с уникальным опытом и теоретики бизнес-процессов по нетиповым направлениям деятельности – проводили комплексные проверки процессов обработки ПДн без привязки к практическим аспектам защиты ИСПДн и к фактическим условиям обработки и хранения ПДн, в частности, без эмуляции актуальных кибератак. Это обстоятельство открывало для проверяемой организации широкое поле для маневров при проведении проверки, а также при устранении недочетов из предписаний по результатам проверки.
Суть предложения: чтобы параллельно с документарной проверкой (выездной или камеральной) создать для РКН возможность реализации практической проверки процессов обработки и защиты ПДн путем проведения мероприятий, приближенных к тестам на проникновение (более известным как пентесты), с отчетом об актуальном уровне защищенности ИСПДн и перечнем выявленных уязвимостей. Совершенно понятно, что при действующей в РКН штатной структуре такое предложение собственными силами реализовать будет сложно. Однако, присутствие в штате подразделения практической (не юридической) направленности с полностью понятным практическим функционалом и задачами является назревшей необходимостью. В свое время, до 2022 г., к подобной мысли последовательно пришли представители "большой четверки" работавших в России аудиторских компаний, а также представители ФинЦЕРТ Банка России. Изменение методики проведения проверки операторов/обработчиков ПДн с включением в нее практического пентеста позволит сделать проверки по линии РКН более "живыми" и мотивировать проверяемые организации тщательнее к ним готовиться.
Нужна новая парадигма
Подготовка и выпуск нормативных документов, оценка уровня защищенности ИСПДн, методология и проведение проверок, оценка ущерба при совместном проведении расследований инцидентов, разработка моделей угроз и нарушителей для ИСПДн – все эти и иные смежные активности проводятся РКН, исходя из парадигмы, что наборы персональных данных считаются скрытыми (не публичными), не утекшими, и требуется обеспечить их дальнейшую защиту. С учетом статистики 2022–2024 гг. стоит пересмотреть этот подход и реализовывать обновленную стратегию защиты, постулирующую, что наборы персональных данных уже были скомпрометированы, стали публичными, а их абсолютная конфиденциальность почти наверняка нарушена. Аналогичный подход уже много лет практикуется крупнейшими мировыми корпорациями для своих публичных медиаи Интернет-проектов (Gmail, Apple, Samsung и др.).
Владельцы почты Gmail меня поймут. Попробуйте зайти в свой аккаунт с чужого компьютера в стране с высоким уровнем риска киберпреступлений. Помимо стандартного знания наименования учетной записи (принцип "я – это я"), ввода пароля от учетной записи ("я знаю"), владельцу учетной записи на привязанный номер телефона отправляется смскод, подтверждающий наличие у него доступа к мобильному телефону, на который зарегистрирована учетная запись ("у меня есть"), а также на каждом шаге предлагается пройти проверку в системе антибот ("я не бот"). После успешного входа в Gmail владельцу учетной записи на основной и резервный адреса электронной почты приходят уведомления с предложением заблокировать сессию, если владелец учетной записи не подтверждает действия по входу на портал (принцип пост-уведомлений о подозрении на инцидент).
Ответственность за формализм
Вопрос корректного учета требований при реализации новых и модернизации действующих ИСПДн у большинства крупных операторов/обработчиков ПДн упирается в отсутствие достаточных ресурсов, бюджетов и планов приведения всего в соответствие. Низкие приоритеты технических работ по доработкам, модернизации процессов и систем с учетом регулярного обновления требований со стороны РКН к тому же разбиваются о риск-ориентированный подход бизнеса, в котором комплаенс-риски по ПДн не идут ни в какое сравнение с операционными или финансовыми рисками от основных бизнес-процессов. Поэтому представители бизнес-подразделений и бизнес-технологи более склонны к модели принятия (покупки) комплаенс-рисков некорректной обработки и защиты ПДн в своих процессах, в том числе в части потенциальных предписаний и штрафов со стороны РКН.
В этой связи целесообразно пересмотреть подход к привлечению к ответственности за несвоевременную реализацию мероприятий по корректировке процессов обработки или защиты ПДн не только руководителей и исполнителей в организации, допустивших нарушение, но и отдельных руководителей направлений и членов коллегиальных органов принятия решения, чье фактическое попустительство или бездействие привели к инциденту. Подобный подход нацелен на формирование в организации операторе/обработчике ПДн культуры своевременного исполнения требований регуляторов в части обработки и защиты наборов ПДн субъектов различной категорий.
В заключение
Чтобы подытожить размышления, приведу две цитаты президента РФ Владимира Путина на тему важности и необходимости защиты персональных данных, совершенствования работы по контролю за операторами/обработчиками ПДн. "Мы предпринимаем энергичные шаги по цифровизации нашей экономики, и вообще жизни в целом, и социальной сферы. В этой связи особенно актуальным является вопрос защиты персональных данных", – сказал [3] Путин. "Нужно определить правильную и эффективную модель работы с большими массивами информации, основанную на безусловной защите безопасности персональных данных" – неоднократно отмечал в своих выступлениях глава государства [4].
Только непрерывно совершенствуясь, применяя лучшие отечественные и мировые практики, мы сможем обеспечить не только формальное выполнение указаний Правительства РФ, но и перейти в масштабах страны от бумажных методов защиты ПДн к реальным высокотехнологичным и эффективным мерам.
- https://tass.ru/obschestvo/22123799
- https://tass.ru/obschestvo/19693845
- http://www.kremlin.ru/events/president/news/63874
- https://tass.ru/ekonomika/13067579
Весь номер журнала «Информационная безопасность» читайте на https://cs.groteck.com/IB_6_2024/