Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Персональные данные требуют согласия

Андрей Арсентьев, руководитель аналитического центра InfoWatch, эксперт BISA

На пути к цифровой экономики можно соблюдать баланс между интересами бизнеса и неприкосновенностью частной жизни. Но в процессе сбора и обработки персональных данных (ПДн) обязательно необходимо оставить инструмент согласия. К такому выводу пришли участники конференции «Кибербезопасность. Защита персональных данных», организованной газетой «Ведомости».

Первая сессия конференции была посвящена широкому спектру вопросов защиты данных пользователей в процессе развития современных технологий. Сегодня много вопросов вызывает тема передачи данных, а также возможность получения компенсаций за их использование. Генеральный директор компании «Системы управления идентификацией» (IDX) Светлана Белова считает, что субъект персональных данных должен быть выведен на арену экономических отношений. По ее словам, каждый человек должен иметь представление о том, какие данные о нем собирают, необходимо законодательно закрепить инструмент контроля за получением и обработкой информации.

Ряд представителей бизнеса выступают за выработку некого этического кодекса сбора и обработки больших данных. Подобный акт можно выработать, например, в рамках саморегулируемой организации. Руководитель по правовому взаимодействию с органами исполнительной власти компании «Мегафон» Никита Данилов отметил, что по такому пути пошли Европа и Китай. Особое внимание в процессе обсуждений необходимо уделить выработке оптимального механизма согласия на обработку ПДн. Директор по направлению «Нормативное регулирование» АНО «Цифровая экономика» Дмитрий Тер-Степанов рассказал, что законопроект о регулировании больших данных уже проходит обсуждение в Госдуме, однако  требует серьезной доработки. Один из самых дискуссионных вопросов соответствующей концепции – регулирование общедоступных данных, в частности, сведений, полученных из профилей соцсетей. Экспертное сообщество предлагает оставить пользователям право предоставлять согласие на перевод их данных в категорию общедоступных.

Временно исполняющий обязанности заместителя руководителя Роскомнадзора Юрий Контемиров обратил внимание на то, что в соответствии со ст.14 закона «О персональных данных», субъект может обратиться к оператору с требованием уточнить его персональные данные, а также заблокировать (уничтожить) их в случае, если эти данные являются неполными, устаревшими, неточными или незаконно полученными. И оператор не вправе отказать в предоставлении информации об обработке персональных данных. «При этом вопрос уточнения достоверности ПДн находится в компетенции самих субъектов – операторы не имеют соответствующей прямой обязанности», - заявил Контемиров. Отдельное внимание представитель регулятора призвал обратить на проработку вопроса уведомлений, а основополагающим вопросом назвал воспитание цифровой культуры и модели поведения субъекта персональных данных.

Большинство спикеров конференции скептически оценивают идею создания информационной системы, которая бы аккумулировала обрабатываемые различными ресурсами ПДн и где пользователь мог бы узнавать информацию о своих данных. Во-первых, непонятно, за чей счет можно создать подобную платформу. Во-вторых, такая информационная система, даже если она будет создана, по своей сути станет суперагрегатором больших данных, а это неизбежно затронет интересы других операторов и негативно скажется на конкурентной среде.

Обсуждая тему соблюдения российского (ФЗ-152) и европейского (GDPR) законов о защите персональных данных, участники дискуссии пришли к выводу, что сегодня очень сложно создать compliance-систему, которая бы учитывала требования обоих актов. «GDPR распространяется на тех российских операторов, которые работают на территории Евросоюза или по поручению европейских компаний. В других случаях рисков для российского бизнеса нет», - заявил Юрий Контемиров.

Вторая дискуссионная сессия конференции была отведена для обсуждения новых вызовов, стоящих перед информационной безопасностью. Участники отметили, что корпоративная безопасность все отчетливее приобретает комплексный характер, грани между экономической и информационной безопасностью постепенно стираются. При этом не все спикеры считают, что в ближайшее время ИТ и ИБ сольются в единое целое.

Но очевидно, что безопасность сегодня генерирует достаточно хорошо осязаемую бизнес-ценность. В том числе поэтому бизнес все чаще хочет научиться разбираться в ИБ. По мере развития цифровизации потребуется кардинальное изменение подходов к ИБ и ИТ, включая смену архитектуры систем. Сегодня компаниям необходимо думать над тем, как безопасно передавать информацию из тысяч систем, каждая из которых имеет свою логику, отметил генеральный директор компании «Адаптивные промышленные технологии» Андрей Суворов. Вместе с тем, по его словам, это весьма затруднительно, поскольку у нас катастрофически не хватает специалистов по информационной безопасности.

Довольно животрепещущим для всего бизнеса является вопрос обмена информацией о кибератаках. «На сегодня нет единых стандартов и единой площадки для информационного обмена об инцидентах», - констатировал Алексей Юдин, директор направления центра кибербезопасности и защиты компании «Ростелеком». Но чем раньше компании наладят обмен данными о кибератаках, тем будет лучше для всего рынка, уверены эксперты. «Понятно, что все любят рассказывать об успешно отраженных атаках, но никто не хочет говорить об атаках пропущенных, - рассуждает бизнес-консультант по безопасности Дмитрий Мананников. – Но кто-то должен наступать на грабли первым, чтобы больше никто на них не наступал.

Генеральный директор компании Attack Killer, вице-президент InfoWatch Рустэм Хайретдинов назвал процесс обмена информацией об инцидентах важным элементом комплексной безопасности. «Пусть лучше будет много информации, чем мало. Постепенно мы научимся отличать доверенные источники от недоверенных», - подчеркивает эксперт InfoWatch.

В частности, сотрудничество в области уведомлений об инцидентах может оказать неоценимую помощь в отражении целевых атак. «Сейчас от таких атак можно быть на 100% защищенными только в том случае, если стоимость защитных мероприятий соответствует стоимости тех активов, которые может похитить атакующая сторона», - отмечает Кирилл Ермаков, технический директор компании Qiwi.

Также участники дискусси о вызовах ИБ обсудили вопросы обеспечения безопасности в финансовом секторе, отметили высокие риски, которые стоят на пути внедрения биометрической идентификации. В заключение был поднят вопрос противодействия кибератакам на промышленные предприятия. «Промышленный сектор сегодня – это некий подопытный кролик, на котором часто тренируются начинающие хакеры, прежде чем начать атаки на компании из других отраслей», - говорит Андрей Кульпин, начальник управления защиты ИТ-инфраструктуры компании «Норникель». По словам специалистов, атаки на критическую инфраструктуру особенно опасны, ведь последствия таких инцидентов могут быть самыми разрушительными, вплоть до выхода из строя и разрушения жизненно важных объектов.

Оцените материал:
Total votes: 5

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.