Новости / январь 2022
Информационная безопасность

Данным отдают должное

С 2007 г. 28 января в мире отмечается Data Protection Day. Эта дата появилась неслучайно: именно 28 января 1981 г. Совет Европы принял конвенцию "О защите лиц в связи с автоматизированной обработкой персональных данных". Этот документ стал первым международным обязывающим инструментом в сфере защиты персональных данных, который определил механизмы защиты прав человека на неприкосновенность его личной жизни, а также предоставил определение понятия "персональные данные".

Яков
Шпунт
© ComNews
28.01.2022

Согласно данным исследования Cisco 2022 Data Privacy Benchmark Study, законодательные акты по защите персональных данных воспринимаются положительно несмотря на то, что для их реализации часто требуются значительные усилия и финансы (каталогизация данных, хранение записей по обработке данных, внедрение средств контроля, реакция на запросы пользователей и т.д.). 83% корпоративных респондентов считают, что законы по защите персональных данных играют позитивную роль, и только 3% считают эту роль отрицательной.

Также по результатам Cisco 2022 Data Privacy Benchmark Study, конфиденциальность стала реальным императивом бизнеса и критичным компонентом завоевания доверия заказчиков для организаций во всем мире: "97% респондентов из России придерживаются такого мнения, причем 94% называют конфиденциальность ключевым компонентом корпоративной культуры. 90% респондентов в мире и 93% - в России заявляют, что откажутся от закупок в организации, если она не обеспечит действенную защиту их данных, при этом 91% опрошенных в России и мире указали на важность внешнего подтверждения конфиденциальности данных для участия в процессах закупок".

"Бюджетные инвестиции в защиту конфиденциальности в среднем выросли на 13%, в России средний объем инвестиций среди опрошенных организаций составил порядка $1,5 млн, - поделился данными исследования заслуженный системный инженер Cisco Михаил Кадер. - Мы также видим, что защита персональных данных стала входить в основные обязанности специалистов по обеспечению безопасности. Наш последний отчет подтверждает, что модель, в которой обеспечение конфиденциальности координируется с мерами по безопасности, выгодно отличается от остальных с точки зрения зрелости и финансовых вложений".

Окупаемость инвестиций в обеспечение конфиденциальности, по данным исследования Cisco, остается на высоком уровне третий год подряд, при этом в более выгодном положении оказывается малый и средний бизнес. Более 60% респондентов ощущают значительные и очень значительные преимущества, особенно когда речь идет о сокращении задержек продаж, устранении ущерба от утечки данных, внедрении инноваций, повышении эффективности, формировании доверенных отношений с заказчиками и повышении уровня привлекательности компании.

Однако проблема защиты личных и корпоративных данных очень далека от решения. И во многом это связано с тем, что сами люди недооценивают ее значимость. "После периода легкомысленного обращения со своими данными и, как следствие, массового мошенничества с банковскими счетами населения, к гражданам постепенно начало приходить понимание, что персональные данные - это не игрушка. И это - только лишь один из аспектов тех рисков, которые присущи новому цифровому пространству", - заявил на круглом столе "Цифровая трансформация: защита прав граждан" председатель Совета по развитию гражданского общества и правам человека, советник президента Российский Федерации Валерий Фадеев.

Президент группы компаний InfoWatch, председатель правления АРПП "Отечественный софт" Наталья Касперская, выступая на том же круглом столе, обратила внимание, что за 2021 г. количество утечек данных по всему миру выросло колоссально, что во многом связано с несовершенством законодательства: "У каждого человека сначала украли, а потом продали его данные больше, чем один раз. В 75% случаев за утечки ответственны внутренние сотрудники, инсайдеры. И чем крупнее база данных у компании, тем более она интересна с точки зрения мошенников. Нужно корректировать Уголовный кодекс, чтобы в случае массовых утечек из подобных баз данных наступала уголовная ответственность руководителей этих компаний. Сейчас же законодательство организовано таким образом, что наказание будет только по жалобе человека, у которого эти данные утекли. В итоге серьезного наказания никто так и не понес".

Эти слова подтверждает и статистика Аналитического центра InfoWatch. В 2020 г. количество дел по ст.137 УК РФ, рассмотренных судами первой инстанции, сократилось почти на 18% по сравнению с 2019 г. При этом, как отметил руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев, лишь три злоумышленника получили реальные сроки. По ст.138 УК РФ самое суровое наказание - четыре месяца исправительных работ. При этом 70% обвиняемых являлись должностными лицами.

Представители международных компаний также обеспокоены ситуацией с сохранностью данных. По мнению старшего директора Veeam по стратегии развития продуктов Рика Вановера, конфиденциальность данных важна как никогда: "Конфиденциальности данных не уделяется должного внимания. Я наблюдаю, как ИТ-организации постоянно управляют большими объемами данных, которые на самом деле им не нужны. Избыточные, устаревшие или тривиальные данные (Redundant, Obsolete or Trivial, ROT) должны быть выведены из жизненного цикла хранения. Мой практический совет в День защиты данных - оцените, какие данные, где находятся, и определите, что необходимо удалить. Если данные не нужно удалять, то определите, следует ли переместить их на определенный уровень хранения или применить к ним соответствующую политику. Вопрос о том, где данные находятся, является важным первым шагом в процессе обеспечения их конфиденциальности".

Вице-президент Veeam по корпоративной стратегии Дэйв Рассел также предупреждает, что сегодня конфиденциальность данных подвергается большему риску, чем когда-либо прежде. "Обеспокоенность вызывают случайные утечки данных, которые, даже не являясь злонамеренными, грозят оглаской конфиденциальной информации. Все чаще киберугрозы и атаки программ-вымогателей направлены не на то, чтобы зашифровать данные с целью получения выкупа, теперь целью кибератаки может быть эксфильтрация и предумышленная утечка данных. Даже небольшие фрагменты данных имеют значение, а то, что множество фрагментов могут быть объединены, представляет еще большую угрозу конфиденциальности. Обеспечение безопасности данных, частые проверки того, какие данные действительно необходимо хранить, и обеспечение доступности данных - все это необходимые компоненты безопасности корпоративной и личной информации", - говорит он.

Однако данные активно собирают и внешние киберпреступники. Как предупреждают практически все антивирусные вендоры, авторы программ-вымогателей уже третий год для шантажа своих жертв не только шифруют их данные, но и похищают, грозя при невыплате выкупа обнародовать их или продать всем желающим (см. новость ComNews от 6 декабря 2021 г.).

Также персональные данные часто похищаются при целевых атаках. На вебинаре "Крок" "Free virus zone: узнайте, как эффективно настроить пограничные средства защиты SASE при гибридном режиме" руководитель группы инженеров информационной безопасности "Крок" Антон Голубков привел информацию, что именно данные, относящиеся к категории персональных, похищались при каждом третьем инциденте, связанном с кибератаками. Еще в 9% случаев объектом кражи становились данные о клиентах, покупателях и заказчиках.

Новости из связанных рубрик