19 июня 2023, 15:51 19 июня 2023, 16:51 19 июня 2023, 17:51 19 июня 2023, 18:51 19 июня 2023, 19:51 19 июня 2023, 20:51 19 июня 2023, 21:51 19 июня 2023, 22:51 19 июня 2023, 23:51 20 июня 2023, 00:51 20 июня 2023, 01:51

В Совете по развитию цифровой экономики при Совфеде предложили штрафовать компании за утечку персональных данных на сумму от 5 млн до 10 млн рублей

Генеральный директор АНО "Цифровые платформы" Арсений Щельцин, выступая в прямом эфире радиоканала "Слушаем!" на "Радио России", поделился подробностями.

"Сейчас текущее законодательство относительно утечек, которые были в прошлом году – а утекло более шести сотен миллионов строк данных российских граждан – штрафы составляли в районе 30-60 тысяч рублей. И основная проблема в том, что текущие штрафы никак не мотивируют организации повышать уровень безопасности".

Как происходят утечки данных:

"Тогда, когда на "Горбушке" можно было купить диск, все было просто. Ведомствам отправляли один элемент программы, который можно было вскрыть. Причем доступ к этим программам среди органов власти имело много людей. Кто-то случайно скопировал, кто-то случайно вскрыл, и дальше эта программа в открытом доступе продается за символическую сумму. Сейчас эти данные все хранятся в централизованном образе, в облаках и доступ к ним идет соответственно специализированный. То есть нет огромного количества людей, которые имеют доступ ко всей базе. Служба поддержки, служба выполнения процедур – они, как правило, имеют доступ по запросу. То есть они могут получить точечные доступы к этим данным. Но так как система становится сложнее и огромное количество систем обмениваются с третьими системами, пятыми, шестыми, где-то может дыра образоваться или заведомо не подумали о том, что нужно обезопасить какой-то элемент, и через эту дыру просто утекает все. Ежесекундно утекает 5000 строк, а за месяц, например, утекает Х-миллионов строк. И сейчас есть такая интересная хитрость: органы государственной власти обзавелись огромным количеством стандартов безопасности в области обработки персональных данных. Государственные структуры стремятся максимально обложиться ограничениями. Кейсы только когда какое-то аналитическое подразделение обрабатывает эти данные для того, чтобы какую-то аналитику получить, но не обрабатывая в онлайне эти данные для транзакций. И при взломе серверов сотрудников получают доступ к этим данным.

А в коммерческих структурах немножко все по-другому. Они не должны ни по каким требованиям, кроме Роскомнадзора, формулировать требования к безопасности дополнительные – такие, как формулируют госорганы. И поэтому, бывает, в погоне за развитием стартапа или проекта проект становится глобальным – и оказывается, что все данные, которые там хранятся, хранятся не в зашифрованном виде".

О причинах утечки данных:

"Два фактора – и человеческий, и технический. Человеческий фактор – это всегда самая главная причина любых взломов, даже если это периметр с автоматчиками, собаками, цепочкой. И технический аспект, потому что человеческий фактор может применяться и в момент проектирования системы. Не предусмотрено противодействие относительно создания дырочек. Так стартапы всегда поступают, потому что их задача быстрее продукт дать. И пользователю, как правило, не особо важно – безопасно это или нет".