10 февраля в Москве в Центре кибербезопасности «Ростелеком-Солар» прошло выездное заседание Комитета Государственной Думы по информационной политике, информационным технологиям и связи на тему «Безопасность граждан и их персональных данных в информационной среде». По итогам заседания участники пришли к выводу, что необходимо установить меры ответственности компаний за непредоставление информации об утечках персональных данных и сбалансировать экономическое давление на организации с тем, чтобы оно стимулировало повышать защищенность своих информационных систем.
В работе выездного заседания приняли участие: председатель Комитета Государственной Думы Федерального Собрания РФ Александр Хинштейн, министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев, президент ПАО «Ростелеком» Михаил Осеевский, старший вице-президент по информационной безопасности компании «Ростелеком», генеральный директор «Ростелеком-Солар» Игорь Ляпунов, а также представители ФСТЭК и Роскомнадзора.
В ходе мероприятия были рассмотрены подходы к повышению защищенности персональных данных граждан, в частности, предложения в области независимого аудита состояния защищенности организаций и ужесточения ответственности компаний за утечку персональных данных, а также ряд других актуальных мер.
Открывая заседание, председатель Комитета Госдума по информационной политике Александр Хинштейн подчеркнул, что вопрос защиты пользовательских данных играет основополагающее значение для государства. Развитие цифровой среды влечёт за собой всё больший объём данных в обороте, и только гарантируя безопасность пользователей, можно говорить об устойчивом развитии и технологическом лидерстве.
«Мы сегодня живем в условиях необъявленной кибервойны. Я рад тому, что цели злоумышленников не достигнуты. Для нас самым важным было получить от мероприятия практический результат — понять, требуются ли какие-либо законодательные изменения, чтобы работа по защите цифрового контура нашей страны велась максимально эффективно. Сегодня начинается совместный эксперимент Минцифры и Ростелеком по привлечению к проверке ИТ-инфраструктуры белых хакеров. В рамках программы Bug Bounty специалисты, выявившие уязвимости портала Госуслуг получат до миллиона рублей», – подчеркнул господин Хинштейн.
Участники встречи обсудили масштабы и причины возросших киберугроз по итогам предыдущего года. Так, по данным Центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар», 2022 год стал беспрецедентным по числу утечек персональных данных граждан: попавшие в минувшем году в общий доступ конфиденциальные данные российских граждан исчисляются сотнями миллионов строк.
По словам президента «Ростелекома» Михаила Осеевского: «В 2022 году всем цифровым компаниям пришлось работать в условиях беспрецедентной кибервойны. Интенсивность и сложность атак на ИТ-инфраструктуру страны из-за рубежа возросли многократно. Однако мы не сломались. Несмотря на все эти усилия, в целом были обеспечены устойчивость критической информационной инфраструктуры и стабильность оказания цифровых сервисов. Гигантские усилия киберпреступники приложили к “хищению” персональных данных. Особых успехов им достичь не удалось, но с помощью разного рода манипуляций они раздували масштаб своих “достижений” и якобы нанесенного ущерба. Мы научились быстро распознавать эти фейки и не тратить на них время. В целом, уроки прошлого года в сфере информационной безопасности сделали нас более сильными, опытными, стрессоустойчивыми, готовыми к любым неожиданностям».
Старший вице-президент по информационной безопасности ПАО «Ростелеком», генеральный директор «Ростелеком-Солар» Игорь Ляпунов отметил важность сбалансированного похода к защите персональных данных. «Надо всегда работать над повышением безопасности данных, особенно в текущее время. Ужесточение ответственности за утечки, конечно, будет являться важным стимулом для компаний. Но вводить такую норму закона необходимо максимально сбалансировано. В первую очередь, следует обратить внимание на вопрос расследования инцидентов и доказательство факта утечки, а это очень непростая задача, так как источник большинства утекающих массивов данных сложно однозначно идентифицировать. На данный момент какое-то количество данных пользователей уже утекло в сеть – злоумышленники могут их просто «переупаковывать» и выдавать за новые, в том числе, и с целью давления на бизнес и дестабилизацию ситуации с стране», — сказал глава «Ростелеком-Солар».
Заместитель руководителя Роскомнадзора Милош Вагнер обратил внимание собравшихся на практику обработки персональных данных российскими компаниями. Сейчас российские организации делятся на две категории: те, кто в силу закона обязан собирать персональные данные, и те, кто это делает фактически. По мнению представителя Роскомнадзора, необходимо выстроить процесс таким образом, чтобы эти данные обрабатывали только те, кто может обеспечить их надежную защиту.
Заместитель директора ФСТЭК России Виталий Лютиков указал на то, что более 80% всех инцидентов с конфиденциальными данными происходит в результате ошибок пользователей или из-за неприменения организациями необходимых средств защиты. Организациям необходимо выстраивать риск-ориентированную защиту: в зависимости от угроз подбирать меры защиты, исходя из баланса защищенности и стоимости технических средств.
Часто проникновения в организации происходят через подрядчиков, в случае с государственными информационными ресурсами – через участников разработки и функционирования государственных информационных систем. Требования по информационной безопасности на сегодня к этим подрядчикам не установлены, из-за чего возникает проблема с их привлечением к ответственности. В Госдуму уже внесен законопроект, определяющий требования к обеспечению безопасности государственных информационных систем вне зависимости от того, где эта информационная инфраструктура расположена.
Подводя итоги заседания, участники отметили, что тема персональных данных очень чувствительна, и нужно работать над дополнительными мерами и расширением полномочий различных органов по их защите. Необходимо усиливать направления нормативного регулирования защиты объектов критической информационной инфраструктуры, где в том числе обрабатываются персональные данные, а также вопросы каскадирования нормативной базы на отрасли, чтобы возникало отраслевое регулирование объектов КИИ.