Принуждение к безопасности

Текущий год ознаменовался новостями об очень значительных штрафах за неисполнение требований регуляторов в области защиты данных. Где-то это взыскание, наложенное государственными органами в рамках исполнения европейской GDPR, где-то – решения суда о компенсации ущерба большому количеству пострадавших. Штрафы уже существенны – миллионы и десятки миллионов долларов и евро, пока, правда, за рубежом, а не в России. Скоро сбудется мечта российских и не только безопасников – государство через угрозу санкций, вплоть до разорительных, будет заставлять организации тратить больше денег на безопасность, а значит, будет больше работы и дорогих ИБ-игрушек.

Интерес безопасников понятен: они напрямую материально заинтересованы в выделении средств на защиту информации. А вот заинтересован ли в таком насаждении безопасности тот, ради кого это все затевалось, – владелец данных, будь то гражданин, государство или бизнес? Действительно ли такое жестокое насаждение правил сделает их данные и процессы безопаснее?

«Кнут» или «пряник»?

Механизмы насаждения нужных государству и обществу правил имеют столь же долгую историю, как само общество и государство. Любой закон предусматривает не только введения каких-то правил (читай: ограничений), но и контроль за их исполнением, и механизм принуждения к исполнению. Мир знал и удачные попытки внедрения ограничений, и неудачные (вспомним те же «сухие законы» в США или России, которые принесли больше вреда, чем пользы, повысили смертность от суррогатов и породили мощную организованную преступность). Мировое сообщество, например, так и не определилось с тем, какая политика по отношению к наркотикам более эффективна: голландская, с легализацией легких наркотиков и реабилитацией наркоманов за государственный счет, или филиппинская, с нетерпимостью и убийством наркоторговцев без суда и следствия – ни там, ни там, проблема наркомании так и не решена.

Мы в России сегодня в прямом эфире наблюдаем борьбу с курением через тотальные запреты. Судя по стихийной уличной курилке около нашего офиса, курить меньше люди не стали, хотя некоторые перешли на электронные сигареты и вейпы. В результате некурящие избавлены от пассивного курения, ради чего все и затевалось (хотя, как оказалось, исследования о его вреде намеренно манипулировали фактами ради обложения табачных компаний данью), но большому количеству людей это принесло серьезные неудобства, особенно в нашем суровом климате.

Правила (читай: запреты) в обществе внедряются не просто. Привычки и традиции меняются медленно, и часто эффект от запретов проявляется уже в следующем поколении, как в примере с курением – мало кто бросил курить под давлением санкций, однако есть надежда, что будет появляться меньше новых курильщиков. Ради этого инициаторы запретов идут даже на явные перегибы: запрещаются детские фильмы и мультфильмы с изображением курящих людей, даже не выпускающий папиросу изо рта Волк из «Ну, погоди!» сегодня под запретом. Надо понимать, что борьба с курением не исчерпывается только жесткими ограничениями, есть и просветительские мероприятия, и даже «пряники» – например, в некоторых странах терапия по отказу от вредней привычки входит в медицинскую страховку.

Важно также понимать, что штрафы – это не еще один хитрый способ пополнить государственный бюджет, что налагающий штрафы не должен быть заинтересован в увеличении поступлений, иначе инициатива обернется своей противоположностью и приучит людей, например, что за деньги можно нарушать правила и бравировать этим, вовлекая в процесс нарушения все новых, ранее законопослушных граждан. Помните присказку, знакомую любому автомобилисту «поворот здесь вообще-то есть, просто он платный»?

Опыт ФЗ 152 «О персональных данных»

Довольно аналогий, давайте вернемся к информационной безопасности. Поставлена задача заставить организации, обрабатывающие чувствительные данные, более ответственно относиться к их хранению и обработке. Мы это уже безуспешно проходили с законом «О персональных данных». Первые требования Закона появились в конце 2007-го года, так что нынешнее поколение безопасников уже 12 лет живет по этим нормативам и не помнит жизни до него. Давайте честно ответим на вопросы типа «работает ли этот закон»? Тут есть два ответа: он работает в том смысле, что проходят плановые мероприятия по исполнению этого Закона. А вот в смысле собственно защиты персональных данных, обрабатываемых и хранящихся в электронном виде, за минувшие 12 лет стало только хуже. Любые данные продаются в Интернете, «пробить» человека стоит несколько десятков долларов, информация попадает в руки мошенников, которые, как показывают последние публичные случаи социальной инженерии, знают о своих жертвах все.

Откуда «течет»? Персональные данные стали собирать все, кому не лень. Мы боремся с терроризмом и мошенничеством, поэтому вход в любой бизнес-центр, не говоря уже о государственных зданиях, осуществляется по предъявлении и сканировании или при копировании паспорта, на худой конец, данные паспорта перепишут в отдельную тетрадку. Поселение в гостиницу, доступ на транспорт, банковские операции, операции в офисах телеком-оператора, возврат денег и товаров в торговых сетях и многое другое – только по паспорту, со снятием с него копии и обязательным согласием на обработку персональных данных. Можешь отказаться давать согласие – твое право, но тогда не полетишь, не поедешь, не поселишься, не пройдешь в здание, не получишь запрашиваемых услуг.

Недавно я покупал билет на подъемник на Красной Поляне в Сочи, передо мной стояла семья с тремя детьми, имеющая право на льготы. Оформление заняло больше получаса: снимались копии со свидетельств о рождении детей, паспорта мамы и ее свидетельства многодетной матери, а потом еще, вишенкой на торте, подписывалось согласие на обработку персональных данных. То есть даже в обычной кассе горнолыжного курорта систематически собирают персональные данные пассажиров, хотя и не всех, а только имеющих право на льготу. Данные наших паспортов и других документов есть в информационных системах тысяч различных бизнесов – от ЧОПов до авиакомпаний.

Где взять денег? Какие у вас гарантии?

Заметим, часто не сами организации вдруг захотели собирать и хранить персональные данные, им это навязали регуляторы – государственные, местные, отраслевые. Ради безопасности или ради отчетности – не так важно, важно, что бизнес нагрузили контрольной функцией, потребовавшей определенных процессов и затрат. Теперь нам надо принудить бизнес надежно защищать эти данные, то есть потратиться второй раз.

Не делать этого нельзя, но делая плохо, можно только навредить. Любая принудительная нагрузка на бизнес воспринимается бизнесом как еще один налог. А налоги бизнес привык минимизировать. Но требования по безопасности хуже, чем налог, который «заплатил и спи спокойно». Можно сколько угодно израсходовать на безопасность, но никакие траты не дают гарантий и спать спокойно не придется никогда – законы бизнеса требуют постоянных изменений в информационных системах, каждое из них несет в себе риск уязвимости, программной или логической. Информационные системы строятся из недоверенных элементов: недели не проходит, чтобы не были обнаружены критичные уязвимости в процессорах, материнских платах, операционных системах, СУБД, промежуточном ПО (middle-ware), популярных прикладных системах и облачных сервисах. Системы управляются людьми, которые могут быть заинтересованы в нелегитимном доступе к данным, находиться под давлением или просто проявить халатность. Даже лидеры ИТ-рынка, живущие Интернетом и информационными системами, инвестирующие огромные деньги в информационную безопасность, время от времени допускают утечки информации, чего уж тут говорить про небольшой банк, постоянно испытывающий проблемы с ликвидностью или несетевой розничный магазин, эмитирующий персональные карты лояльности.

Словом, бизнесу предлагается тратить все большее количество денег без сколько-нибудь гарантированного результата. Ни одна «лучшая практика» не гарантирует, что, выполняя ее буквально, бизнес будет защищен от потери данных. Ни один производитель средств безопасности и ни один провайдер сервисов безопасности не подпишется под компенсацией всех убытков и штрафов. Никакая страховка пока не покрывает рисков огромных штрафов, а если и покроет, то будет стоить, как чугунный мост, и при этом страховая компания, как принято в отрасли, начнет искать тысячи причин, чтобы не платить. Бизнесу предлагается все больше инвестировать в направление, не приносящее прибыли и не гарантирующее наступление убытков. К тому же у огромного количества предприятий нет лишних денег в условиях продолжающегося кризиса, их придется вынимать из бюджета развития или, если такое возможно – перекладывать расходы на клиентов.

В то же время ситуация, когда персональные данные свободно гуляют по Интернету, недопустима. Особенно недопустимы утечки биометрических данных – можно просто поменять пароль, пин-код, гораздо сложнее имя и фамилию, но изменить отпечатки пальцев и форму лица совсем трудно, а ДНК – невозможно. При этом тенденция в сторону сбора все большего количества данных о гражданах налицо – все сегодня болеют возможностями, которые обещают большие данные, поведенческая аналитика, профилирование и персонализация сервисов.

«Кнут» работает не всегда

Для того чтобы карательные (а по-другому невозможно назвать многомиллионные штрафы и реальные тюремные сроки) меры заработали, нужны три компонента:

Четкие требования, что бизнес должен сделать, а чего делать не должен. Требования должны быть одинаковыми для всех, осуществимыми и понятно измеряемыми, то есть можно однозначно без всякой экспертизы сказать, реализованы они или нет. Расходы на выполнение требований не должны быть неподъемными финансовыми для бизнеса и не менять бизнес-модель (помните первые требования к закону «О персональных данных», предписывающие обрабатывать персданные на компьютерах, отключенных от Интернета, что полностью бы остановило работу личных кабинетов в любых сервисах?). Очевидно, что требование «не допускать утечек данных» таковым не является.
Независимый контроль. Когда возникает утечка данных, должен действовать понятный и заведомо известный механизм, который точно докажет вину оператора данных. Сегодня доказательство вины оператора довольно сложный состязательный процесс, состоящий из различных экспертных оценок, что позволяет даже виновному в утечке заявить: «мы провели внутреннее расследование, которое показало, что мы не виноваты». Скрупулезное доказательство вины при противодействии обвиняемой стороны (невыдача, уничтожение и фальсификация внутренней информации) невозможна, а правосудие по типу «хайли лайкли» приведет к использованию таких обвинений в «спорах хозяйствующих субъектов» и прокачиванию квалификации не безопасников, а корпоративных юристов. Как обеспечить независимый контроль – предстоит придумать, возможно, это будут «черные ящики», собирающие логи из внутренних систем, обрабатывающих персданные, или что-то другое, но без независимого контроля любые требования превращаются просто в средство давления на бизнес.
Неотвратимость наказания при одинаковом наказании за одинаковые нарушение. Избирательное правосудие по принципу «виноваты многие, но мы накажем только тех, кого захотим и насколько захотим» приводит к формированию совсем не тех поведенческих паттернов, которые задумывали авторы карательных мер. Известно, что избирательное правосудие вместо паттерна «не делать плохо» формирует паттерн «не попадаться», вспомните борьбу Роскомнадзора с Telegram. Если нет стопроцентной неотвратимости наказания, бизнес будет скорее инвестировать не в защиту, а в увеличение вероятности ненаказания – в сокрытие улик, лояльность аудиторов и экспертов, лоббистские и юридические ухищрения и т. п.

Причем должны работать одновременно все три компонента: нет смысла контролировать то, что нечетко сформулировано, наказывать за то, что недоказуемо или требовать то, что нельзя проверить.

Не «кнутом» единым

Сегодня в области защиты персональных данных ничего из этого не наблюдается. Плюс никаких «пряников», скажем, снижения налогооблагаемой базы за счет инвестиций в защиту данных. Никакой позитивной пропаганды о пользе защиты персданных. Никакого независимого контроля, только заинтересованные в обвинении эксперты. Лишь угрозы страшными карами, которых непонятно как избежать.

За века человечество накопило достаточно опыта изменения «правил игры». Целые государства меняли веру, общественно-политический строй, власть, письменность, многовековые привычки и сложившиеся поведенческие паттерны. Но никогда жестокие наказания не были единственным рычагом к переменам. Нужны и позитивные стимулы, и этапность, и вовлечение.

Как показывает вековой опыт, все, призывающие к массовым расстрелам, надеются на то, что они обязательно будут находиться со стороны приклада.

Смотреть все статьи по теме "Информационная безопасность"

Журнал IT Manager

Опубликовано 22.08.2019

Об авторах

Рустэм Хайретдинов

Заместитель генерального директора Группы компаний "Гарда"

Информационная безопасность

Предыдущая
«Ростелеком-Солар» получит доступ к базе ESET

Следующая
Информационная безопасность – тормоз для цифровой экономики?

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30