Утечки персональных данных, огромное количество которых сосредоточено в информационных сетях российских компаний, приводят к серьезным финансовым и репутационным издержкам. В корне явления лежат несколько причин, не последняя из которых — практическое неисполнение законодательных нормативов в области защиты персональных данных.

Как показывает практика, внимание компаний к каким бы то ни было проблемам зависит от масштаба этих проблем и их влияния на бизнес. Защита персональных данных в этом плане не исключение. В общем случае, чем больше сведений хранят и обрабатывают компании, тем выше риски, ответственность и обеспокоенность менеджмента за сохранность данных.

По данным исследования, проведенного компанией Perimetrix, более половины российских компаний (52%) обрабатывают свыше 10 тыс. записей персональных данных. Утечка такого объема информации — это далеко не локальный инцидент, поскольку группу риска составляет количество людей, сравнимое с населением небольшого города. Очевидно, что в случае неблагоприятного исхода потери исчисляются не только суммой в денежном эквиваленте с большим количеством нулей — наносится ущерб и репутации компании.

Количество записей ПД в российских компаниях

Примерно каждая шестая российская компания (15,3%) обрабатывает персональные данные более 1 млн человек. Это и государственные учреждения, и крупные коммерческие компании. Если такое предприятие представлено на фондовых рынках и об утечке информации из него станет известно, акции мгновенно потеряют в цене: инвесторы не станут дожидаться окончания расследования инцидента.

Защищенность персональных данных

По данным мировой статистики об инцидентах в сфере ИБ, около 90% всех утечек так или иначе связаны с действиями персонала. Таким образом, чем больше сотрудников обладает доступом к массивам персональных данных, тем выше риски утечки.

Кто имеет доступ к массивам ПД?

В диаграммах сумма долей больше 100%, поскольку респонденты имели возможность выбрать несколько вариантов ответа.

Теоретически рассуждая, доступ к массивам персональных данных стоило бы ограничить службой безопасности. Однако в большинстве случаев (57,6%) доступ к информации есть и у ИТ-персонала. Это связано с особенностями российского бизнеса, в котором сферы ответственности ИТ и ИБ часто не разделяются.

Параметры исследования

В рамках исследования, проведенного компанией Perimetrix совместно с ABISS, журналом "Информационная безопасность" и порталом bankir.ru, было опрошено 389 человек, среди которых 84,5% составили специалисты в области ИТ и ИБ.

Кроме того, угрозу утечки персональных данных несут топ-менеджеры (21,9%) и аналитики (18,5%). Первые, отличаясь высоким уровнем халатности, нередко имеют полный доступ к корпоративным ресурсам, который им открывают ИТ-специалисты во избежание конфликтных ситуаций. У вторых, как правило, неоправданно широкий уровень доступа. Для решения большинства задач аналитикам достаточно обезличенных статистических выборок, а не массивов реальных персональных данных.

Отдельного упоминания заслуживают call-центры и службы технической поддержки. Вероятность утечки данных через них весьма высока, поскольку сотрудники этих отделов обычно не отличаются высокой лояльностью и не всегда достаточно компетентны в сфере безопасности. Проблема, связанная с подобными рисками, устраняется достаточно просто: ограничением доступа к массивам данных. "Слить" персональные данные миллиона людей поштучно очень непросто.

Если сравнить защищенность персональных данных и информации, которая составляет коммерческую тайну, можно сделать два вывода. Во-первых, российские компании понимают важность защиты персональных данных и защищают их не хуже, чем коммерческую тайну. Во-вторых, безопасность обоих типов информации находятся на одинаково низком уровне.

Защищенность ПД в сравнении с коммерческой тайной

По данным исследования "Инсайдерские угрозы в России 2008", два наиболее действенных класса систем защиты — решения для шифрования данных в местах хранения и комплексные продукты по защите от утечек — имеют крайне низкий уровень проникновения (36% и 24% соответственно). Другие системы безопасности занимаются защитой исключительно от внешних вторжений.

Доступ к ПД извне

Еще одну угрозу персональным данным представляет доступ к информации со стороны партнеров и аутсорсинговых партнеров. Хотя в России культура аутсорсинга сравнительно слабо развита, только две трети (64,3%) отечественных компаний имеют монопольный доступ к персональными данными, 24,7% организаций делятся информацией с дочерними и материнскими структурами, оставшиеся 11,1% несут риски утечки информации через партнеров по полной программе.

Персональные данные и законодательное регулирование

Использование персональных данных в отечественных организациях жестко регулируется законодательством с помощью федерального закона "О персональных данных". Этот документ, основной в данной сфере, вступил в действие 30 января 2007 года и, по сути, представляет собой перечень самых общих высокоуровневых требований к защите персональной информации. В силу того что конкретные детали в законе не рассматриваются, он в его нынешнем виде почти не может применяться в бизнесе. Без конкретики этот норматив едва ли имеет смысл, оставаясь лишь набором общих рекомендаций.

Публикация конкретизирующих нормативов — не единственный способ оживить этот мертвый закон. В конце 2007 года был назначен орган ("Россвязькомнадзор"), ответственный за реестр операторов персональных данных, и стартовала его разработка. Спустя четыре месяца представители регулятора объявили о создании реестра и призвали все российские компании внести туда свою информацию. К середине ноября 2008 года в реестре содержались сведения почти о 25 тыс. операторов персональных данных.

Рост озабоченности российских компаний влиянием федерального закона косвенно подтверждается статистикой. Большинство специалистов (79,7%) уже пыталось вникать в положения ФЗ и задумывались о его возможном влиянии на бизнес. Оставшиеся 20,3% респондентов имеют о законе смутное представление либо вовсе с ним не знакомы.

Осведомленность специалистов о ФЗ "О персональных данных"

Пятая часть (20,3%) респондентов полагает, что их компании полностью удовлетворяют требованиям закона. Эта уверенность едва ли имеет под собой основания, учитывая размытость требований. Поскольку положения ФЗ могут по-разному толковаться, до появления конкретизирующих нормативов заявлять о полном соответствии опрометчиво. В данном контексте выглядят гораздо ближе к действительности сообщения более половины специалистов о том, что их компании не выполняют требования закона частично (46,3%) либо полностью (11,1%).

Соответствие требованиям ФЗ "О персональных данных"

В целом операторы персональных данных готовы следовать федеральному закону, однако не до конца понимают, как именно это сделать. Более того, участники рынка считают необходимым не только выполнять положения ФЗ, но и делать больше, чем предписывается, в целях защиты владельцев персональных данных. В частности, практически две трети (65,3%) респондентов уверены, что в федеральный закон должно включаться требование, согласно которому предприятия будут обязаны делать информацию об утечках ПД публичной. И только 18,5% специалистов считают, что каждая компания вправе самостоятельно решать, как поступать в случае инцидента. Такое требование, уже действующее в нескольких западных странах, наносит компании значительный ущерб в результате утечки информации. А значит, заставляет уделять безопасности большее внимания и повышает роль ответственных за нее подразделений.

Каковы перспективы?

В целом исследование показало чрезвычайную важность и растущую актуальность защиты персональных данных. Сегодня российские компании обрабатывают огромное количество информации такого рода. В большинстве случаев доступ к ней не контролируется, что приводит к высоким рискам утечки.

Законодательное регулирование защиты ПД до сих пор практически не работает, а ФЗ "О персональных данных" по-прежнему выдвигает только общие и неконкретные требования. Каждая компания трактует эти требования исходя из собственных соображений, а иногда — просто их игнорирует. Правоприменительная практика в отношении ФЗ отсутствует, контроль над исполнением закона де-факто не производится.

Вместе с тем российское правительство предпринимает шаги для реанимации федерального закона и для осуществления контроля над операторами персональных данных. Поскольку ФЗ уже давно вступил в силу, российские компании должны быть готовы к публикации конкретизирующих документов и появлению контроля над исполнением закона. Конечно, это событие не может произойти в один момент, однако и реализация комплекса защитных мер требует времени. Задумываться о защите персональных данных необходимо уже сегодня, внедрять защиту — завтра, а послезавтра — спокойно наблюдать за схваткой государства и менее дальновидных компаний. Напомним, что согласно закону, информационные системы персональных данных должны быть приведены в соответствие с требованиями закона не позднее 1 января 2010 года. Таким образом,