С кражей персональной информацией сталкивались многие россияне — как иначе объяснить тот факт, что телефонные мошенники, пытаясь навесить нам на уши очередную порцию «лапши» про взломанный банковский счет или неожиданную денежную выплату, знают наше имя, место работы и даже имена родственников? Кибератак — как на граждан, так и на организации — стало больше на фоне внешнеполитической напряженности. Впрочем, отечественный рынок пусть пока и не преодолел все риски, но в целом адаптировался к новым «боевым» реалиям. Как импортозамещение на рынке ИБ-продуктов позволяет укрепить цифровую оборону и почему всем нам следует серьезно относиться к угрозе утечек персональных данных — в комментарии Михаила Смирнова, руководителя экспертно-аналитического центра ГК ИнфоВотч.
Значимость информационной безопасности поняли все
«Число кибератак резко увеличилось с усилением напряженности внешнеполитической ситуации. Первый удар в феврале-марте 2022 года наши специалисты по ИТ-технологиям и информационной безопасности выдержали за счет своего профессионализма и личного времени, перераспределив ресурсы как для отражения массива атак, так и для поиска систем защиты информации, которые смогут заменить импортные, отключенные или блокированные вендорами. Фактически реализовались риски, которые многие даже не вносили в модель угроз. Прежде всего это уход западных вендоров с российского рынка.
С другой стороны, сложившаяся ситуация показала руководителям организаций значимость направления информационной безопасности, необходимость реализации ее требований, выделения средств. Пусть выделяют не везде и не в полном объеме, но связь обеспечения информационной безопасности (кибербезопасности, компьютерной безопасности) с возможностью функционирования многих предприятий стала очевидной.
Какие продукты нужны рынку ИБ
Говорить о том, что все вызовы и трудности в области информационной безопасности преодолены, пока рано. Российские разработчики программного обеспечения, в том числе систем защиты информации, сейчас на подъеме. Однако даже когда на рынке будут все компоненты — от средств разработки программного обеспечения, операционных систем до прикладного ПО с заявленным набором необходимых функций — еще долго будет актуален целый комплекс задач. В первую очередь речь идет о проверке совместимости нового ПО между собой и оценке соответствия требований надежности, функциональной безопасности, кибербезопасности требованиям заказчиков конкретных предприятий. Для решения этих задач требуются полигоны (технопарки), методики, ПО для тестирования и, самое главное, специалисты. На этом фоне выделю возможные финансовые проблемы на приобретение, тестирование, внедрение нового ПО и переподготовку специалистов. Здесь важен «бесшовный» переход: процесс должен быть выстроен так, чтобы не получилось, что разом останавливается вся отрасль или весь регион, к примеру, остается без света или ИТ-услуг. Особенно стоит выделить автоматизированные системы, управляющие процессами непрерывного цикла, например в нефтехимии.
Полный перечень задач в рамках импортозамещения рынка кибербезопасности должен быть сформулирован Министерством цифрового развития и корпорациями. Со своей стороны, полагаю, наиболее актуальные продукты в рамках импортозамещения — это инженерное ПО, например САПР (системы автоматизации проектирования — прим. ред.), во-вторых, ПО, на базе которого создаются автоматизированные системы управления в критичных областях, а также средства разработки программного обеспечения.
Как реагировать на утечки личных данных
В текущей ситуации перед новыми вызовами оказываются не только руководители организаций и власти, но и буквально каждый гражданин. По данным опроса ВЦИОМ, семь из десяти интернет-пользователей (68%) опасаются за сохранность своих персональных данных, таких как данные банковского счета, пароли от почты или социальных сетей. В том числе каждый пятый «очень опасается» кражи личных данных (23%), а почти половина — «скорее опасаются» (45%).
Разумеется, процессы цифровизации в целом предполагают резкое снижение уровня приватности — для работы сервисов или выполнения государственных функций в цифровом виде (в первую очередь удаленно) необходимы персональные данные пользователя, часто вплоть до биометрии. За эти удобства мы расплачиваемся своими данными, получив которые, легальные операторы (когда ненавязчиво, когда наоборот) начинают предлагать новые товары и услуги, передавать их другим компаниям. Здесь есть важный нюанс: соглашения об обработке персональных данных часто предполагают право на передачу третьим лицам (только кто же их читает, эти соглашения!). Здесь важно, что в таком случае передача, последующие телефонные звонки и письма происходят в рамках правового поля. А значит, возможно отстоять свои права, удалить данные — точнее, запретить их применение.
В то же время бесконтрольное распространение личных данных может привести к тому, что данные будут использоваться за пределами правового поля, в сомнительных или криминальных целях, и в этом случае предъявить претензии за использование своих данных будет некому. Значит, смиряться с утечкой личных данных и пускать ситуацию на самотек ни в коем случае нельзя!
Исследование ВЦИОМ показывает, что граждане России осознают опасность бесконтрольного распространения персональных данных, в том числе платежной информации, задумываются над тем, защищены ли их данные на ресурсах работодателя и в их личных смартфонах и компьютерах. Полагаю, результаты опроса являются хорошим стимулом для совершенствования госрегулирования во всех направления — от правовых аспектов до применения конкретных технических решений и средств защиты информации».