IT ManagerБезопасностьУправление ИБ

Принуждение к безопасности

Рустэм Хайретдинов | 22.08.2019

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Принуждение к безопасности

Текущий год ознаменовался новостями об очень значительных штрафах за неисполнение требований регуляторов в области защиты данных. Где-то это взыскание, наложенное государственными органами в рамках исполнения европейской GDPR, где-то – решения суда о компенсации ущерба большому количеству пострадавших. Штрафы уже существенны – миллионы и десятки миллионов долларов и евро, пока, правда, за рубежом, а не в России. Скоро сбудется мечта российских и не только безопасников – государство через угрозу санкций, вплоть до разорительных, будет заставлять организации тратить больше денег на безопасность, а значит, будет больше работы и дорогих ИБ-игрушек.

Интерес безопасников понятен: они напрямую материально заинтересованы в выделении средств на защиту информации. А вот заинтересован ли в таком насаждении безопасности тот, ради кого это все затевалось, – владелец данных, будь то гражданин, государство или бизнес? Действительно ли такое жестокое насаждение правил сделает их данные и процессы безопаснее?

«Кнут» или «пряник»? 

Механизмы насаждения нужных государству и обществу правил имеют столь же долгую историю, как само общество и государство. Любой закон предусматривает не только введения каких-то правил (читай: ограничений), но и контроль за их исполнением, и механизм принуждения к исполнению. Мир знал и удачные попытки внедрения ограничений, и неудачные (вспомним те же «сухие законы» в США или России, которые принесли больше вреда, чем пользы, повысили смертность от суррогатов и породили мощную организованную преступность). Мировое сообщество, например, так и не определилось с тем, какая политика по отношению к наркотикам более эффективна: голландская, с легализацией легких наркотиков и реабилитацией наркоманов за государственный счет, или филиппинская, с нетерпимостью и убийством наркоторговцев без суда и следствия – ни там, ни там, проблема наркомании так и не решена.

Мы в России сегодня в прямом эфире наблюдаем борьбу с курением через тотальные запреты. Судя по стихийной уличной курилке около нашего офиса, курить меньше люди не стали, хотя некоторые перешли на электронные сигареты и вейпы. В результате некурящие избавлены от пассивного курения, ради чего все и затевалось (хотя, как оказалось, исследования о его вреде намеренно манипулировали фактами ради обложения табачных компаний данью), но большому количеству людей это принесло серьезные неудобства, особенно в нашем суровом климате.

Правила (читай: запреты) в обществе внедряются не просто. Привычки и традиции меняются медленно, и часто эффект от запретов проявляется уже в следующем поколении, как в примере с курением – мало кто бросил курить под давлением санкций, однако есть надежда, что будет появляться меньше новых курильщиков. Ради этого инициаторы запретов идут даже на явные перегибы: запрещаются детские фильмы и мультфильмы с изображением курящих людей, даже не выпускающий папиросу изо рта Волк из «Ну, погоди!» сегодня под запретом. Надо понимать, что борьба с курением не исчерпывается только жесткими ограничениями, есть и просветительские мероприятия, и даже «пряники» – например, в некоторых странах терапия по отказу от вредней привычки входит в медицинскую страховку.

Важно также понимать, что штрафы – это не еще один хитрый способ пополнить государственный бюджет, что налагающий штрафы не должен быть заинтересован в увеличении поступлений, иначе инициатива обернется своей противоположностью и приучит людей, например, что за деньги можно нарушать правила и бравировать этим, вовлекая в процесс нарушения все новых, ранее законопослушных граждан. Помните присказку, знакомую любому автомобилисту «поворот здесь вообще-то есть, просто он платный»?

Опыт ФЗ 152 «О персональных данных»

Довольно аналогий, давайте вернемся к информационной безопасности. Поставлена задача заставить организации, обрабатывающие чувствительные данные, более ответственно относиться к их хранению и обработке. Мы это уже безуспешно проходили с законом «О персональных данных». Первые требования Закона появились в конце 2007-го года, так что нынешнее поколение безопасников уже 12 лет живет по этим нормативам и не помнит жизни до него. Давайте честно ответим на вопросы типа «работает ли этот закон»? Тут есть два ответа: он работает в том смысле, что проходят плановые мероприятия по исполнению этого Закона. А вот в смысле собственно защиты персональных данных, обрабатываемых и хранящихся в электронном виде, за минувшие 12 лет стало только хуже. Любые данные продаются в Интернете, «пробить» человека стоит несколько десятков долларов, информация попадает в руки мошенников, которые, как показывают последние публичные случаи социальной инженерии, знают о своих жертвах все.

Откуда «течет»? Персональные данные стали собирать все, кому не лень. Мы боремся с терроризмом и мошенничеством, поэтому вход в любой бизнес-центр, не говоря уже о государственных зданиях, осуществляется по предъявлении и сканировании или при копировании паспорта, на худой конец, данные паспорта перепишут в отдельную тетрадку. Поселение в гостиницу, доступ на транспорт, банковские операции, операции в офисах телеком-оператора, возврат денег и товаров в торговых сетях и многое другое – только по паспорту, со снятием с него копии и обязательным согласием на обработку персональных данных. Можешь отказаться давать согласие – твое право, но тогда не полетишь, не поедешь, не поселишься, не пройдешь в здание, не получишь запрашиваемых услуг.

Недавно я покупал билет на подъемник на Красной Поляне в Сочи, передо мной стояла семья с тремя детьми, имеющая право на льготы. Оформление заняло больше получаса: снимались копии со свидетельств о рождении детей, паспорта мамы и ее свидетельства многодетной матери, а потом еще, вишенкой на торте, подписывалось согласие на обработку персональных данных. То есть даже в обычной кассе горнолыжного курорта систематически собирают персональные данные пассажиров, хотя и не всех, а только имеющих право на льготу. Данные наших паспортов и других документов есть в информационных системах тысяч различных бизнесов – от ЧОПов до авиакомпаний.

Где взять денег? Какие у вас гарантии?

Заметим, часто не сами организации вдруг захотели собирать и хранить персональные данные, им это навязали регуляторы – государственные, местные, отраслевые. Ради безопасности или ради отчетности – не так важно, важно, что бизнес нагрузили контрольной функцией, потребовавшей определенных процессов и затрат. Теперь нам надо принудить бизнес надежно защищать эти данные, то есть потратиться второй раз.

Не делать этого нельзя, но делая плохо, можно только навредить. Любая принудительная нагрузка на бизнес воспринимается бизнесом как еще один налог. А налоги бизнес привык минимизировать. Но требования по безопасности хуже, чем налог, который «заплатил и спи спокойно». Можно сколько угодно израсходовать на безопасность, но никакие траты не дают гарантий и спать спокойно не придется никогда – законы бизнеса требуют постоянных изменений в информационных системах, каждое из них несет в себе риск уязвимости, программной или логической. Информационные системы строятся из недоверенных элементов: недели не проходит, чтобы не были обнаружены критичные уязвимости в процессорах, материнских платах, операционных системах, СУБД, промежуточном ПО (middle-ware), популярных прикладных системах и облачных сервисах. Системы управляются людьми, которые могут быть заинтересованы в нелегитимном доступе к данным, находиться под давлением или просто проявить халатность. Даже лидеры ИТ-рынка, живущие Интернетом и информационными системами, инвестирующие огромные деньги в информационную безопасность, время от времени допускают утечки информации, чего уж тут говорить про небольшой банк, постоянно испытывающий проблемы с ликвидностью или несетевой розничный магазин, эмитирующий персональные карты лояльности.

Словом, бизнесу предлагается тратить все большее количество денег без сколько-нибудь гарантированного результата. Ни одна «лучшая практика» не гарантирует, что, выполняя ее буквально, бизнес будет защищен от потери данных. Ни один производитель средств безопасности и ни один провайдер сервисов безопасности не подпишется под компенсацией всех убытков и штрафов. Никакая страховка пока не покрывает рисков огромных штрафов, а если и покроет, то будет стоить, как чугунный мост, и при этом страховая компания, как принято в отрасли, начнет искать тысячи причин, чтобы не платить. Бизнесу предлагается все больше инвестировать в направление, не приносящее прибыли и не гарантирующее наступление убытков. К тому же у огромного количества предприятий нет лишних денег в условиях продолжающегося кризиса, их придется вынимать из бюджета развития или, если такое возможно – перекладывать расходы на клиентов.

В то же время ситуация, когда персональные данные свободно гуляют по Интернету, недопустима. Особенно недопустимы утечки биометрических данных – можно просто поменять пароль, пин-код, гораздо сложнее имя и фамилию, но изменить отпечатки пальцев и форму лица совсем трудно, а ДНК – невозможно. При этом тенденция в сторону сбора все большего количества данных о гражданах налицо – все сегодня болеют возможностями, которые обещают большие данные, поведенческая аналитика, профилирование и персонализация сервисов.

«Кнут» работает не всегда

Для того чтобы карательные (а по-другому невозможно назвать многомиллионные штрафы и реальные тюремные сроки) меры заработали, нужны три компонента:

  1. Четкие требования, что бизнес должен сделать, а чего делать не должен. Требования должны быть одинаковыми для всех, осуществимыми и понятно измеряемыми, то есть можно однозначно без всякой экспертизы сказать, реализованы они или нет. Расходы на выполнение требований не должны быть неподъемными финансовыми для бизнеса и не менять бизнес-модель (помните первые требования к закону «О персональных данных», предписывающие обрабатывать персданные на компьютерах, отключенных от Интернета, что полностью бы остановило работу личных кабинетов в любых сервисах?). Очевидно, что требование «не допускать утечек данных» таковым не является.

  2. Независимый контроль. Когда возникает утечка данных, должен действовать понятный и заведомо известный механизм, который точно докажет вину оператора данных. Сегодня доказательство вины оператора довольно сложный состязательный процесс, состоящий из различных экспертных оценок, что позволяет даже виновному в утечке заявить: «мы провели внутреннее расследование, которое показало, что мы не виноваты». Скрупулезное доказательство вины при противодействии обвиняемой стороны (невыдача, уничтожение и фальсификация внутренней информации) невозможна, а правосудие по типу «хайли лайкли» приведет к использованию таких обвинений в «спорах хозяйствующих субъектов» и прокачиванию квалификации не безопасников, а корпоративных юристов. Как обеспечить независимый контроль – предстоит придумать, возможно, это будут «черные ящики», собирающие логи из внутренних систем, обрабатывающих персданные, или что-то другое, но без независимого контроля любые требования превращаются просто в средство давления на бизнес.

  3. Неотвратимость наказания при одинаковом наказании за одинаковые нарушение. Избирательное правосудие по принципу «виноваты многие, но мы накажем только тех, кого захотим и насколько захотим» приводит к формированию совсем не тех поведенческих паттернов, которые задумывали авторы карательных мер. Известно, что избирательное правосудие вместо паттерна «не делать плохо» формирует паттерн «не попадаться», вспомните борьбу Роскомнадзора с Telegram. Если нет стопроцентной неотвратимости наказания, бизнес будет скорее инвестировать не в защиту, а в увеличение вероятности ненаказания – в сокрытие улик, лояльность аудиторов и экспертов, лоббистские и юридические ухищрения и т. п.

Причем должны работать одновременно все три компонента: нет смысла контролировать то, что нечетко сформулировано, наказывать за то, что недоказуемо или требовать то, что нельзя проверить.

Не «кнутом» единым

Сегодня в области защиты персональных данных ничего из этого не наблюдается. Плюс никаких «пряников», скажем, снижения налогооблагаемой базы за счет инвестиций в защиту данных. Никакой позитивной пропаганды о пользе защиты персданных. Никакого независимого контроля, только заинтересованные в обвинении эксперты. Лишь угрозы страшными карами, которых непонятно как избежать.

За века человечество накопило достаточно опыта изменения «правил игры». Целые государства меняли веру, общественно-политический строй, власть, письменность, многовековые привычки и сложившиеся поведенческие паттерны. Но никогда жестокие наказания не были единственным рычагом к переменам. Нужны и позитивные стимулы, и этапность, и вовлечение.

Как показывает вековой опыт, все, призывающие к массовым расстрелам, надеются на то, что они обязательно будут находиться со стороны приклада.

Ключевые слова: информационная безопасность

Горячие темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 08/2019], Подписка на журналы

Об авторах

Рустэм Хайретдинов

Рустэм Хайретдинов

Генеральный директор компании "Атак Киллер". VP ИнфоВотч.

Также по теме

Другие материалы рубрики

Загрузка...

Компании сообщают

Мероприятия

22.09.2019 — 24.09.2019
XIII CIO-конгресс «Подмосковные вечера»

Москва, Московская обл., дер. Новая Купавна

26.09.2019 — 27.09.2019
GIS DAYS 2019

Санкт-Петербург, отель «Park Inn Прибалтийская», ул. Кораблестроителей, д.14,

26.09.2019 — 27.09.2019
Smart Oil & Gas

Санкт-Петербург, Отель «Хилтон Санкт-Петербург Экспофорум»

01.10.2019 — 02.10.2019
IoT&AI World Summit Russia

Казань, Казань Экспо

02.10.2019 — 04.10.2019
Созвездие САПР

отель Артурс