Утечки персональных данных, огромное количество которых сосредоточено в информационных сетях российских компаний, приводят к серьезным финансовым и репутационным издержкам. В корне явления лежат несколько причин, не последняя из которых - практическое неисполнение законодательных нормативов в области защиты персональных данных.
Как показывает практика, внимание компаний к каким бы то ни было проблемам зависит от масштаба этих проблем и их влияния на бизнес. Защита персональных данных в этом плане не исключение. В общем случае, чем больше сведений хранят и обрабатывают компании, тем выше риски, ответственность и обеспокоенность менеджмента за сохранность данных.
По данным исследования, проведенного компанией Perimetrix, более половины российских компаний (52%) обрабатывают свыше 10 тыс. записей персональных данных. Утечка такого объема информации - это далеко не локальный инцидент, поскольку группу риска составляет количество людей, сравнимое с населением небольшого города. Очевидно, что в случае неблагоприятного исхода потери исчисляются не только суммой в денежном эквиваленте с большим количеством нулей - наносится ущерб и репутации компании.
Количество записей ПД в российских компаниях
Источник: Perimetrix, 2008
Примерно каждая шестая российская компания (15,3%) обрабатывает персональные данные более 1 млн человек. Это и государственные учреждения, и крупные коммерческие компании. Если такое предприятие представлено на фондовых рынках и об утечке информации из него станет известно, акции мгновенно потеряют в цене: инвесторы не станут дожидаться окончания расследования инцидента.
Защищенность персональных данных
По данным мировой статистики об инцидентах в сфере ИБ, около 90% всех утечек так или иначе связаны с действиями персонала. Таким образом, чем больше сотрудников обладает доступом к массивам персональных данных, тем выше риски утечки.
Кто имеет доступ к массивам ПД?
В диаграммах сумма долей больше 100%, поскольку респонденты имели возможность выбрать несколько вариантов ответа.
Источник: Perimetrix, 2008
Теоретически рассуждая, доступ к массивам персональных данных стоило бы ограничить службой безопасности. Однако в большинстве случаев (57,6%) доступ к информации есть и у ИТ-персонала. Это связано с особенностями российского бизнеса, в котором сферы ответственности ИТ и ИБ часто не разделяются.
Теоретически рассуждая, доступ к массивам персональных данных стоило бы ограничить службой безопасности. Однако в большинстве случаев (57,6%) доступ к информации есть и у ИТ-персонала. Это связано с особенностями российского бизнеса, в котором сферы ответственности ИТ и ИБ часто не разделяются.
Кроме того, угрозу утечки персональных данных несут топ-менеджеры (21,9%) и аналитики (18,5%). Первые, отличаясь высоким уровнем халатности, нередко имеют полный доступ к корпоративным ресурсам, который им открывают ИТ-специалисты во избежание конфликтных ситуаций. У вторых, как правило, неоправданно широкий уровень доступа. Для решения большинства задач аналитикам достаточно обезличенных статистических выборок, а не массивов реальных персональных данных.
Отдельного упоминания заслуживают call-центры и службы технической поддержки. Вероятность утечки данных через них весьма высока, поскольку сотрудники этих отделов обычно не отличаются высокой лояльностью и не всегда достаточно компетентны в сфере безопасности. Проблема, связанная с подобными рисками, устраняется достаточно просто: ограничением доступа к массивам данных. "Слить" персональные данные миллиона людей поштучно очень непросто.
Если сравнить защищенность персональных данных и информации, которая составляет коммерческую тайну, можно сделать два вывода. Во-первых, российские компании понимают важность защиты персональных данных и защищают их не хуже, чем коммерческую тайну. Во-вторых, безопасность обоих типов информации находятся на одинаково низком уровне.
Защищенность ПД в сравнении с коммерческой тайной
Источник: Perimetrix, 2008
По данным исследования, "Инсайдерские угрозы в России 2008", два наиболее действенных класса систем защиты - решения для шифрования данных в местах хранения и комплексные продукты по защите от утечек - имеют крайне низкий уровень проникновения (36% и 24% соответственно). Другие системы безопасности занимаются защитой исключительно от внешних вторжений.
Доступ к ПД извне
Источник: Perimetrix, 2008
Еще одну угрозу персональным данным представляет доступ к информации со стороны партнеров и аутсорсинговых партнеров. Хотя в России культура аутсорсинга сравнительно слабо развита, только две трети (64,3%) отечественных компаний имеют монопольный доступ к персональными данными, 24,7% организаций делятся информацией с дочерними и материнскими структурами, оставшиеся 11,1% несут риски утечки информации через партнеров по полной программе.
Персональные данные и законодательное регулирование
Использование персональных данных в отечественных организациях жестко регулируется законодательством с помощью федерального закона "О персональных данных". Этот документ, основной в данной сфере, вступил в действие 30 января 2007 года и, по сути, представляет собой перечень самых общих высокоуровневых требований к защите персональной информации. В силу того что конкретные детали в законе не рассматриваются, он в его нынешнем виде почти не может применяться в бизнесе. Без конкретики этот норматив едва ли имеет смысл, оставаясь лишь набором общих рекомендаций.
Публикация конкретизирующих нормативов - не единственный способ оживить этот мертвый закон. В конце 2007 года был назначен орган ("Россвязькомнадзор"), ответственный за реестр операторов персональных данных, и стартовала его разработка. Спустя четыре месяца представители регулятора объявили о создании реестра и призвали все российские компании внести туда свою информацию. К середине ноября 2008 года в реестре содержались сведения почти о 25 тыс. операторов персональных данных.
Рост озабоченности российских компаний влиянием федерального закона косвенно подтверждается статистикой. Большинство специалистов (79,7%) уже пыталось вникать в положения ФЗ и задумывались о его возможном влиянии на бизнес. Оставшиеся 20,3% респондентов имеют о законе смутное представление либо вовсе с ним не знакомы.
Осведомленность специалистов о ФЗ "О персональных данных"
Источник: Perimetrix, 2008
Пятая часть (20,3%) респондентов полагает, что их компании полностью удовлетворяют требованиям закона. Эта уверенность едва ли имеет под собой основания, учитывая размытость требований. Поскольку положения ФЗ могут по-разному толковаться, до появления конкретизирующих нормативов заявлять о полном соответствии опрометчиво. В данном контексте выглядят гораздо ближе к действительности сообщения более половины специалистов о том, что их компании не выполняют требования закона частично (46,3%) либо полностью (11,1%).
Соответствие требованиям ФЗ "О персональных данных"
Источник: Perimetrix, 2008
В целом операторы персональных данных готовы следовать федеральному закону, однако не до конца понимают, как именно это сделать. Более того, участники рынка считают необходимым не только выполнять положения ФЗ, но и делать больше, чем предписывается, в целях защиты владельцев персональных данных. В частности, практически две трети (65,3%) респондентов уверены, что в федеральный закон должно включаться требование, согласно которому предприятия будут обязаны делать информацию об утечках ПД публичной. И только 18,5% специалистов считают, что каждая компания вправе самостоятельно решать, как поступать в случае инцидента. Такое требование, уже действующее в нескольких западных странах, наносит компании значительный ущерб в результате утечки информации. А значит, заставляет уделять безопасности большее внимания и повышает роль ответственных за нее подразделений.
Каковы перспективы?
В целом исследование показало чрезвычайную важность и растущую актуальность защиты персональных данных. Сегодня российские компании обрабатывают огромное количество информации такого рода. В большинстве случаев доступ к ней не контролируется, что приводит к высоким рискам утечки.
Законодательное регулирование защиты ПД до сих пор практически не работает, а ФЗ "О персональных данных" по-прежнему выдвигает только общие и неконкретные требования. Каждая компания трактует эти требования исходя из собственных соображений, а иногда - просто их игнорирует. Правоприменительная практика в отношении ФЗ отсутствует, контроль над исполнением закона де-факто не производится.
Вместе с тем российское правительство предпринимает шаги для реанимации федерального закона и для осуществления контроля над операторами персональных данных. Поскольку ФЗ уже давно вступил в силу, российские компании должны быть готовы к публикации конкретизирующих документов и появлению контроля над исполнением закона. Конечно, это событие не может произойти в один момент, однако и реализация комплекса защитных мер требует времени. Задумываться о защите персональных данных необходимо уже сегодня, внедрять защиту - завтра, а послезавтра - спокойно наблюдать за схваткой государства и менее дальновидных компаний.