Бороться с нелегальными сайтами, распространяющими утекшие базы данных, нет смысла. В случае прекращения работы одного подобного источника есть вероятность появления еще нескольких, что способствует привлечению внимания пользователей к базе, которую пытаются удалить. Поэтому необходимо создавать комплексную систему защиты и, в случае утечки данных, проводить расследование, в том числе с привлечением правоохранительных органов, а также готовить подробный отчет с причинами и объяснением того, как произошла утечка, и впоследствии публиковать результаты расследования.
Автор: Андрей Слободчиков, эксперт по информационной безопасности “Лиги Цифровой Экономики”
Размеры компании не влияют на степень сложности взлома, но зачастую именно малый бизнес меньше внимания уделяет информационной безопасности, так как в первую очередь нацелен на получение прибыли. В крупном бизнесе к информационной безопасности подходят более серьезно. Это связано с тем, что у больших компаний в случае утечек данных возникают репутационные проблемы, которые привлекают повышенное внимание со стороны регуляторов и т.д.
Сейчас затраты на информационную безопасность напрямую связаны с затратами на ИТ-инфраструктуру. Поэтому стоимость системы защиты может сильно варьироваться: это могут быть затраты на сотрудника, который занимается обеспечением безопасности с помощью встроенных механизмов защиты в ИТ-устройствах или использованием Open Source – решений, или же затраты на полноценный отдел и коммерческие ИБ-продукты.
Проблема внедрения систем защиты информации заключается в нехватке грамотных специалистов, которые могут осваивать решения, учитывая бизнес-требования (эффективность, удобство использования, доступность, скорость и т.д.) и требования регуляторов.
Основные проблемы защиты персональных данных в России заключаются в том, что нет точного определения информации, которая относится к персональным данным, а также отсутствуют адекватные требования по их защите. В КоАП не предусмотрены штрафы за утечки и невыполнение требований по техническим и организационным мерам защиты персональных данных. Роскомнадзор не осуществляет проверку технической защиты информации и запрашивает определенный перечень документов, которые зачастую создаются по шаблонам с единственной целью – пройти проверку. Организации не заинтересованы в излишних тратах на обеспечение сохранности персональных данных и при проверках используют документы, которые не имеют ничего общего с реальной безопасностью.
Для юридических лиц при сборе избыточных данных предусмотрен штраф в соответствии с ч. 1 ст. 13.11 КоАП РФ. Первичный штраф составляет 60–100 тыс. руб., повторный – 100–300 тыс. У регулятора нет средств, чтобы отслеживать такие сайты, но интернет-пользователи могут сами оповестить Роскомнадзор, когда сталкиваются с нарушениями. Ответственные пользователи, имеющиеся административные и технологические инструменты в совокупности могли бы сформировать эффективную систему борьбы с подобными сайтами.
Для эффективного регулирования необходимо задать определение, которое будет трактоваться однозначно. Нужно ввести административные штрафы в КоАП за утечку персональных данных и за отсутствие адекватных организационно-технических мер по обеспечению их безопасности. Штрафы должны быть соизмеримы со степенью нарушений, как это есть в европейском общем регламенте по защите данных – General Data Protection Regulation (GDPR). Наказание должно зависеть от характера, тяжести, причины и продолжительности нарушения, а также от способа оповещения о нем (непосредственно самой организацией или другими источниками). Одним из успешных примеров регулирования защиты персональных данных является GDPR. В отличие от отечественного аналога – 152-ФЗ в GDPR явно определено, что относится к персональным данным, а также обозначена ответственность за их защиту как для оператора, так и для непосредственного обработчика персональных данных. Таким образом, в GDPR одним из мотиваторов обеспечения сохранности персональных данных являются большие штрафы, в то же время в данном документе предусмотрены четкие требования по обеспечению безопасности, при выполнении которых организации не грозят штрафы.
Чтобы свести к минимуму риск утечки персональных данных, необходимо минимизировать свой цифровой след в сети. При регистрации на сайтах, в социальных сетях и мессенджерах не публиковать (не указывать) дату рождения, адрес, номер телефона, сведения о родственниках и другую личную информацию. Лучше завести отдельный ящик электронной почты для приватных переписок и отдельный – для регистрации в соцсетях, на форумах, сайтах и т.д.
В случае необходимости передачи личных данных необходимо убедиться в том, что получателем является именно тот, кому предназначена информация. На личных устройствах рекомендуется избегать использования нелицензированного ПО и хотя бы раз в неделю проводить сканирование на наличие вирусов.