Новая модель угроз

Текст: Елена Рыцарева

Совет федерации принял изменения в закон «О персональных данных», вешающий новые вериги на бизнес. Госорганы пока его исполнять не будут — в бюджете на это денег нет. Платить пока будут только частные компании. А утечки продолжатся.

Совет федерации принял федеральный закон «О внесении изменений в федеральный закон «О персональных данных». Сам закон вступил в силу в январе 2007 года, но не весь. Заблокирована была 19 статья, вводящая драконовские меры ко всем организациям, имеющим хоть какое-то отношение к персональным данным (ПД). Под персональными данными понимается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», то есть это и цвет глаз, и размер ноги, и номер сотового телефона, и сексуальная ориентация, и данные о здоровье, и членство в партиях. По закону и госкомпании, и частные фирмы должны были взять с каждого человека подписку, что он не против обработки своих ПД. Компьютер эти ПД должен обработать специальным софтом, аттестовать как минимум трех специалистов и т. д., и т. п. (многие из мер не были прописаны в законе, а были потом введены подзаконными актами ФСБ и Федеральной службы технического и экспортного контроля). Закон касается около 7 млн организаций — и частных фирм, и госкомпаний, и поликлиник, и детсадов.

Статья 19 была заморожена не просто так — ее просто мало кто мог выполнить. От частных фирм требовались немалые затраты, госорганам из бюджета денег не давали. Сначала ее вступление в силу перенесли на 1 января 2010 года, потом 2011-го, потом на 1 июля 2011 года. Параллельно с этим готовилась новая, более щадящая редакция. Согласно ей, частный оператор персональных данных, не обрабатывающий тайные сведения, сам определял меры защиты своей базы, при этом отраслевые организации могли создавать некие стандарты защиты. Для госкомпаний стандарты разрабатывало государство. Причем во главу угла ставился возможный вред субъекту персональных данных. В такой формулировке статья прошла первое чтение в Госдуме и вдруг исчезла из базы. Появился новый вариант поправок, причем не одной статьи, а всего закона, такой жесткий и бескомпромиссный, что стало сразу ясно: его писали люди из дома на Лубянке. В начале июля он моментально прошел второе и третье чтения, а 13 июля — и Совет федерации.

РАЗМОРОЗКА 19-Й И НЕ ТОЛЬКО
Если ты частный предприниматель, а вся база твоих клиентов — это небольшая табличка, которую ты держишь в программе Google Docs, «облачном» сервисе Google для документов, и физически твоя несчастная табличка находится где-то на сервере в США, то ты нарушаешь сразу несколько статей ФЗ 152.

Теперь любая частная фирма должна выделить человека, ответственного за обработку ПД, закупить специальное ПО, а иногда и аппаратное обеспечение, произведенное компанией-лицензиатом ФСТЭК и ФСБ. Нетрудно догадаться, что все эти компании-лицензиаты близки к ФСТЭК или ФСБ. Более того, согласно закону сертифицируется не просто программа, а каждый конкретный экземпляр — естественно, за отдельную плату. Есть у вас данные о клиентах на пяти компьютерах, значит, надо сертифицировать пять экземпляров, на ста — сто экземпляров. Процесс длится от девяти до 12 недель. А еще те же компании должны произвести оценку мер по безопасности. Будет ли это обязательной аттестацией — непонятно. Полный перечень процедур будет в подзаконных актах, которые еще не написали ФСТЭК и ФСБ.

В прежнем варианте законопроекта контроль и надзор со стороны ФСТЭК и ФСБ был разрешен только в отношении госорганов. А в текущем варианте ФСТЭК и ФСБ с учетом значимости и содержания ПД решением правительства могут быть наделены полномочиями по контролю и надзору негосударственных информационных систем.

Другой настораживающий факт, уже коррупциогенный: в ч. 2 ст. 19 не определен субъект, в компетенцию которого входит определение порядка процедуры оценки соответствия средств защиты информации; в п. 4 не указаны критерии оценки эффективности принимаемых мер по обеспечению безопасности ПД и т. д.

СКОЛЬКО ЭТО СТОИТ?
Оценки ущерба для бизнеса от принятия нового закона разнятся. «Расходы на установку системы, обработку персональных данных для разных компаний могут составлять от 10 до 200% годового оборота (в зависимости от размера компании) плюс операционные затраты на техническую поддержку системы защиты ПД обычно составляют примерно 10–15% стоимости этих систем», — посчитали в одной из сотовых компаний. В открытом письме к президенту РФ, опубликованном пятью ведущими специалистами в области информационной безопасности, говорится следующее: «По оценкам парламентских слушаний 20 октября 2009 года, на реализацию этих неэффективных в деле защиты прав субъектов персональных данных мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат, операторы, с очень большой вероятностью, переложат указанные расходы на субъектов — потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов». Так, для компании масштаба МТС установка и сертификация необходимого оборудования может обойтись в порядка 40 млн долларов, еще от 2 млн до 5 млн долларов ежегодно будет уходить на поддержание системы.

«Надо, чтобы предприятия, которым граждане доверили свои персональные данные, несли суровую ответственность за возможные утечки, но предписывать им, какие именно способы и программы для этого применять, — такого нет нигде в мире. Операторы связи всегда предпринимали и предпринимают значительные и дорогостоящие усилия по сохранению не только персональных данных своих абонентов, но и их тайны связи. Однако за новые мероприятия, реализуемые в мегамасштабе, предписываемом новым законопроектом, в конечном итоге придется заплатить самим абонентам, поскольку увеличение расходов операторов связи на реализацию новых требований неизбежно приведет к росту цен для абонентов на самые массовые в стране услуги — услуги связи, в том числе сотовой», — считает президент Ассоциации региональных операторов связи Юрий Домбровский.

Но не все впадают в панику от суммы затрат. В компании «Микротест» считают, что фирме из десяти человек можно уложиться в 150 тыс. рублей. Такие проекты у них уже были. «Если персональные данные уже хранятся в защищенной базе данных и доступ к консолидированной информации имеют два человека, то достаточно "бумажной работы", без закупки средств защиты. То есть затрат не будет, если бумаги подготовит ваш юрист и айтишник в рамках своих должностных обязанностей. Если у вас такие данные лежат на локальных местах в excel-файлах на компьютерах всех сотрудников — вам каждый компьютер придется защищать как упомянутую базу. По некоторым оценкам, до половины организаций, обрабатывающих персональные данные, способны обойтись без дополнительных закупок средств защиты, потратившись только на приведение в порядок бумаг и организационные меры», — считает заместитель генерального директора InfoWatch Рустэм Хайретдинов.

Однако не все относятся к закону негативно. Для компаний-интеграторов он создал фактически новый рынок, многие заработали на консалтинге по ИБ и внедрении ПО.

«Закон нужен, мы живем в такой стране, в которой надо все регулировать, — считает Дмитрий Савченко, директор бизнес-направления информационной безопасности компании "Микротест". — Если бы решение об уровне и необходимости защиты оставили оператору персональных данных, как это реализовано в европейском законодательстве, а наказывали бы только в случае инцидента (воровства или какой-либо утечки ПД), то большинство компаний вообще ничего бы не делали». Стоит учесть, что наказывают за подобные правонарушения у нас мягко (размеры штрафов ниже стоимости решений), а практика выплат, а точнее, суммы, которые выплачивают компании пострадавшим по их вине клиентам, просто вызывают недоумение».

Впрочем, и он недоволен теми методами, которыми достигается безопасность информации. «Закон и все подзаконные акты готовили люди, которые раньше занимались охраной государственной тайны, — объясняет Савченко. — И все очень жесткие технические подходы оттуда». А вот организационные меры — то есть защита от «слива» данных от сотрудников предприятия, прописаны слабо, а именно через них по всему миру и идет большинство утечек. «Гораздо дешевле подкупить сотрудника, имеющего доступ к нужным данным, чем организовывать какую-то сложную хакерскую атаку», — считает Савченко.

И СНОВА ГОСРЭКЕТ
С тем, что персональные данные надо защищать, никто не спорит. Недавно появилась новость об утечке данных о клиентах из магазин цифрового контента для Playstation японской корпорации Sony, несколько лет назад была большая кража из Citibank. В России по украденным паспортным данным мошенники берут кредиты, используются данные государственного пенсионного фонда (скандальная история, когда оттуда незаконно была переведена накопительная часть пенсии тысяч москвичей в негосударственный пенсионный фонд «Норникель», случилась весной этого года). А о скольких историях мы просто не знаем!

Не сказать чтобы российский частный бизнес этим не озаботился. Например, базы данных клиентов многие компании защищают очень хорошо — это их актив. «К нам обращаются транспортные компании, автодилеры, чтобы мы сделали более всеобъемлющие меры защиты, чем по ФЗ 152, особенно в области кражи информации собственными сотрудниками», — говорит Дмитрий Савченко из «Микротеста». А вот в госорганах ситуация совсем другая. Минздрав — а данные о здоровье человека относятся к самому высокому первому классу угроз (всего их, согласно методике ФСТЭК, четыре) — вообще не выделяет никаких денег на защиту ПД. На рынках Москвы можно запросто купить диски с базами адресов и телефонов москвичей, с данными из налоговой инспекции, Минфина, базы угнанных авто. Их источники — не частные фирмы, а некие лица в правоохранительных и других госорганах. А как раз данных от частных компаний — номера сотовых телефонов, взятые физлицами в банках кредиты — на рынках уже давно нет.

В бюджете ни на 2011-й, ни на 2012 год средств на реализацию проекта нет. А значит, с проверками в госкомпании не пойдут. Остается частный бизнес. ФЗ 152 может стать новой опорой для вымогателей из госструктур, как, например, это случилось при борьбе с использованием незаконного программного обеспечения.

И еще. В законе как-то потерялся субьект — человек, данные о котором хотят украсть. Помогут ли все эти меры сократить мошенничество, преступность? Большинство опрошенных «Экспертом» в это не верят. Ведь проверять будут только технологические ухищрения, а не сами факты утечки. Хотя, как показывает бурное распространение соцсетей, нынешний homo sapiens все свои персональные данные охотно выкладывает в Сеть сам, не заботясь ни о каких моделях угроз.