Павел Головлёв: "Должно пройти несколько эпидемий чумы, прежде чем народ научится мыть руки перед едой"

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(2)
()
Опубликовано в:

Не секрет, что все последние подвижки в плане информационной безопасности упирались в наше законодательство. Согласны ли вы с этим и есть ли выход из данной ситуации?

Павел Головлёв

Павел Головлёв , начальник управления безопасности Информационных технологий, СМП Банк:

В России есть такая национальная болезнь, которая называется «долго запрягаем, потом быстро едем, потом оказывается, что едем не в ту сторону».  Мы очень часто по старой советской привычке пытаемся всё зарегулировать. При этом складывается парадоксальная ситуация:  за то время, пока всё пытаются зарегулировать, ситуация кардинально меняется.  А мы всё регулируем, а потом пытаемся жить с тем, что зарегулировали, поскольку зарегулировали мы это жёстко. Такая проблема была в своё время с электронной цифровой подписью, закон о  которой, в конце концов, пришлось просто отменить и принять вместо него новый. Причем тогда, когда он худо-бедно начал работать. И так во всём: мы живём по принципу «до основанья, а затем».

Ту же самую ситуацию можно наблюдать и с законом о персональных данных. Не успел он вступить в силу, как мы его меняем. Сейчас опять начали говорить о необходимости изменений.  Дьявол кроется в деталях. Нельзя решить глобальную проблему, которая к тому же не всегда оказывается такой уж глобальной, не разобравшись во всех мелочах.

Согласны ли вы с мнением, что медицинские данные из всех персональных данных представляют наибольшую ценность для мошенников?

Тут играет роль много факторов: что подразумевается под персональными данными, в какой области, какова отраслевая специфика. Можно взглянуть на вопрос со стороны себя как человека: какие данные о вас лично для вас наиболее ценны.

Представим себе ситуацию, когда на улицах появятся гугломашины, которые ездят без водителя. Кто-то получает доступ к контроллеру этой машины и отправляет ее в пропасть. При этом медицинские данные в этом никак не участвуют, также как и в системе управления авиаперевозками и многих других случаях.

Главный фактор − это ценность информации. Любое преступление в первую очередь идёт от монетизации. Угрозу жизни отдельного человека и его репутации надо рассматривать через призму того, какую ценность представляет для кого-то этот человек.

А если взять  фармакологические компаний, которые используют эти данные для продажи своих продуктов?

Да, для фармкомпаний эти данные, без сомнения, представляют интерес, но только в формате Big Data, то есть больших объёмов данных, статистических массивах данных. Данные одного конкретного человека, в этом смысле, никому не интересны, какой бы редкой болезнью ни болел человек. Эта ситуация схожа с моделированием угроз в банковской сфере: если вы спросите у специалиста, сколько стоит данный конкретный платёжный документ − он ответ: 0.

А если частное лицо просто не хочет,  чтобы информация о его редкой болезни появилась  в открытом доступе?

Тут играет роль, какая это информация, и в связи с чем она может быть использована. Тот факт, что у кого-то заболел зуб или он страдает лишним весом, мало кому будет интересен.  Другое дело − информация о сердечной болезни в связке с данными конкретного кардиостимулятора, если человек его использующий, представляет интерес. Вот здесь выстраиваются очень сложные цепочки, которые формализовать на уровне законодательном просто бессмысленно.

Как известно, с 1 января нового года вступит в силу статья 9 №161-ФЗ «О национальной платежной системе». Перенос ответственности за легитимность операций с клиентов на банки и субъекты ПС, по мнению многих специалистов, может привести к всплеску компьютерного мошенничества. Уже сейчас многие банки и телекоммуникационные компании «думают за себя и того парня». Какие же всё-таки шаги стоит предпринимать, чтобы повысить образованность населения в вопросах его же безопасности?

Я в связи с этим вспомнил случай: летом я ехал в небольшом рейсовом автобусе в Австрии. Там над кабиной водителя бегущей строкой местная полиция сообщала об участившихся случаях смс-мошенничества, и о том, что нужно предпринимать и куда обращаться, если вы получили подобную смску, - вот пример простой, понятной и грамотной работы с населением в плане повышения культуры информационной безопасности.

Есть мнение,  что к 2014 году DLP станет отраслевым стандартом, и внедрение DLP-систем станет такой же обязательной процедурой, как внедрение антивирусов?

Насчёт антивирусов как раз сейчас появилось мнение, что они себя изжили. А что касается DLP,  ФСТЭК обещает выпустить стандарт по DLP чуть ли не в следующем году.

Какое решение в сфере защиты внутренней информации вы считаете наиболее эффективным?

Поскольку информационные технологии достаточно глубоко проникли в нашу жизнь, мы входим в ту пору, когда информационная безопасность фактически сравнима со здравоохранением и соответственно методы работы должны быть такими же. Должен быть выбор между обязательным и добровольным  медицинским страхованием, бесплатными и платными лекарствами, бесплатными и платными клиниками, в том числе и пластической хирургии, но это уже из серии «любой каприз за ваши деньги». При этом должно быть обязательное обучение основам  гигиены, начиная с детсада, государственное здравоохранение, гарантированное медобслуживание – это целая инфраструктура, целая система жизнеобеспечения страны, вот информационная безопасность должна принять примерно такой же вид.

Сейчас же мы имеем дело с очередным пузырем доткомов. Есть перегретый рынок вендоров, интеграторов, предлагающих раздутые услуги и дорогущие продукты. И есть конечный потребитель, которому наплевать на свои персональные данные, что доказано неоднократными исследованиями. Совсем недавно немцы проводили тестирование: один и тот же продукт можно было купить за 50 евроцентов или бесплатно, но предоставив свои персональные данные, что народ с радостью и предпочёл сделать.

Должно пройти несколько эпидемий чумы, прежде чем народ научиться мыть руки перед едой. Должен произойти слом в мозгах как у вендоров, так и у конечных потребителей. Вот тут регулятором и нужно будет обеспокоиться производство и внедрением информационно безопасных продуктов широкого потребления.

 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя GeorgeG

Фармацевтические компании не используют персональные данные участников клинических исследований. Для этого они привлекают специальные фирмы и получают обобщенные и обезличенные отчеты о фармакобезопасности. И я так и не понял - какой все-таки ответ был дан на последний вопрос?

up
26 users have voted.
Аватар пользователя Lindt

Перевожу, как поняла: должна быть надёжная система, что называется, musthave, от основных типов угроз и "рюшечки", которые можно поставить, если есть желание и деньги.

up
23 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.