Приватность и персональные данные обсудили в рамках Cyber Security Day 2022

Дата публикации: 9 февраля 2022

Приватность и персональные данные обсудили в рамках Cyber Security Day 2022

8 февраля 2022 года в рамках Форума цифровой безопасности Cyber Security Day 2022 — CyberSecurityDay.ru на площадке Общественной палаты РФ в гибридном формате (офлайн+онлайн) прошла секция «Приватность и персональные данные», на которой эксперты отрасли обсудили основные проблемы и тренды в области регулирования защиты персональных данных в России с учетом международной практики, а также практические подходы к поддержанию privacy. Дискуссия состоялась при поддержке Бизнес-кластера «РАЭК / Privacy&LegalTech». 

Модератором секции выступил сооснователь Б-152 и руководитель  «РАЭК / Privacy&LegalTech» Максим Лагутин.

Президент группы компаний (ГК) InfoWatch, председатель правления АРПП «Отечественный софт» Наталья Касперская выступила с докладом на тему «Борьба с утечками ПДН как с причиной цунами мошенничеств».

Тенденция с утечками персональных данных очень негативная. По данным Банка России, воровство денег со счетов клиентов составило 773 млн рублей в 2020 году, а количество таких операций было более 9 млн.

Рост составил 52% по числу операций и 34% по объему – это совершенно гигантские цифры. Популярных схем воровства десятки, но основная – это вымогательство денег теми или иными способами. МВД за 2021 год зафиксировало снижение числа тяжких преступлений, но при этом фантастический рост на 73% количества преступлений с использованием информационно-коммуникационных технологий. SecurityLab отмечает, что многие преступления, связанные с мошенничеством, не доходят до полиции.

Ни в 152-ФЗ, ни в остальных законах, которые регулируют кибербезопасность, нигде нет наказания за утечку данных. Пока не будет наказания, мы с этим не справимся. Наказывать надо именно за утечки, а не за нарушение "бумажной безопасности". Если мы будем дальше существовать в такой парадигме, в которой существуем сейчас, у нас могут произойти непредсказуемые события.

Для защиты граждан нужно просвещение: курсы цифровой гигиены в школах и вузах, социальные проекты по повышению навыков цифровой гигиены для уязвимых групп граждан. На мой взгляд, нужна унификация пользовательских соглашений операторов персональных данных. Должны быть специальные программы по борьбе с мошенничеством, в которые должны включиться и мобильные операторы, которые пока не очень активно участвуют в этом.

Нужно также помогать нашим регуляторам и силовикам в борьбе за наши персональные данные. Расширение полномочий Роскомнадзора – это важная мера, но ее будет недостаточно, нужно заниматься также и материальной помощью, потому что есть кадровая проблема у регуляторов.

Наталья Касперская

Наталья Касперская

Президент группы компаний (ГК) InfoWatch, председатель правления АРПП «Отечественный софт»

Антон Горелкин, заместитель председателя Комитета Государственной Думы РФ по информационной политике, информационным технологиям и связи рассказал про регулирование рекомендательных систем.

Сегодня мы на пороге внедрения законодательного акта о регулировании рекомендательных систем.

Невозможность контроля потребляемой информации приводит к информационному кокону и поляризации мнений, возникает инструмент влияния на пользователей и соблазн манипуляции. За год ни одна из соцсетей не сделала и шага по внедрению методов регулирования рекомендательных систем. В своих опасениях мы не одиноки: США и Европа тоже рассматривают вопросы регулирования рекомендательных систем. Дальше всех в этом вопросе пошел Китай, который уже внедрил ряд требований, некоторые из которых достаточно избыточны. Государство не должно вмешиваться в работу рекомендательных алгоритмов, но должен быть общественный контроль.

Антон Горелкин

Антон Горелкин

Заместитель председателя Комитета Государственной Думы РФ по информационной политике, информационным технологиям и связи

Начальник отдела информационной безопасности Общества с ограниченной ответственностью «СерчИнформ» Алексей Дрозд рассказал про борьбу с дипфейками.

Когда частные организации стали собирать биометрию, то логично возник вопрос: как это можно взломать и применить во зло?

О дипфейках думали давно, но порог входа был большой. Сейчас преступления с дипфейками уже есть, а порог входа стал ощутимо меньше. "Мы на пороге грандиозного шухера", - как говорил один персонаж. Будет это шухер или нет, зависит от нас. Если наломают дров во время цифровизации и у злоумышленников получится реализовать какой-то сценарий, который позволит дипфейкам сделать хорошую монетизацию, то мы тут же получим волну преступлений.

Алексей Дрозд

Алексей Дрозд

Начальник отдела информационной безопасности Общества с ограниченной ответственностью «СерчИнформ»

Соучредитель и член правления Russian Privacy Professionals Association - RPPA.ru Алексей Мунтян в своем докладе отметил вопросы открытости в обработке персональных данных.

97% пользователей вообще не читают пользовательские соглашения, потому что, чтобы их прочесть, нужно потратить часы времени, и не факт, что вы из них что-то поймете.

Одна из стратегий – своевременное информирование субъекта об обработке персональных данных. Какие техники можно использовать, чтобы сделать технологии обработки персональных данных понятным для пользователя? Нужно использовать больше графических элементов. Все любят "Мурзилки", никто не любит читать длинные скучные тексты. Второй пример – многоуровневые документы. Это дает возможность видеть, как должны выглядеть "слоенные" документы: когда вы как пользователь видите определенный набор тезисов в виде понятных предложений. А дальше, все сильнее углубляясь в тот или иной раздел, вы можете получить полную юридически значимую информацию. Еще одна методика – своевременные уведомления. Некоторые компании в нашей стране уже идут по пути внедрения панелей управления приватностью (privacy dashboard).

Алексей Мунтян

Алексей Мунтян

Cоучредитель и член правления Russian Privacy Professionals Association - RPPA.ru

Директор по развитию медиа Rambler&Co Владимир Тодоров рассказал про обработку данных международными IT-гигантами, а также раскрыл всю правду про современные алгоритмы в сети. 

Мы является товаром для алгоритмов. К примеру, если человеку ставят лайки, у него вырабатывается дофамин, вызывающий эффект эйфории.

Как раз поэтому алгоритмы учатся сегодня управлять такой зависимостью человека: они способствуют её росту, ведь их ключевая задача - удержать внимание человека. Другая проблема - алгоритмы не понимают, какой контент они ранжируют - содержание совершенно не имеет значения. К слову, алгоритмы являются прямыми виновниками фейковых новостей. Удивительно, но классические медиа находятся в конце списка виновников существования фейков. Сегодня алгоритмы загоняют человека в кошмарное психологическое состояние, а иногда даже приводят к глубокой депрессии.

Владимир Тодоров

Владимир Тодоров

Директор по развитию медиа Rambler&Co

Денис Садовников (ФГУП ГРЧЦ) рассказал слушателям про основные проблемы использования  персональных данных в ML.

Защита персональных данных не сводится к защите самой информации. У законодательства о персональных данных совершенно другая цель – защита фундаментальных прав человека.

Если данные хранятся и обрабатываются – это уже и есть первая предпосылка утечки. Многих утечек не случилось бы, если бы компании не собирали данные, которые им на самом деле не нужны, или для обработки которых нет законных оснований, а также удаляли данные после достижения целей обработки. А в некоторых случаях права субъекта могут быть нарушены и без утечки уже самим фактом обработки. Отмечу, что текущее законодательство в России, регулирующее работу с персональными данными, в чистом виде европейское, можно сказать его ответвление – в его основе лежат в европейские принципы. Однако его состояние на текущий момент отражает европейские реалии середины 90-х годов, когда, к примеру, пользователями интернета были менее одного процента населения.

Денис Садовников

Денис Садовников

ФГУП ГРЧЦ

Директор юридического департамента ГК «Иннотех» Вадим Перевалов рассказал про то, как внутри компании учесть интересы всех сторон в вопросах кибербезопасности.

Каждый день кто-то покушается на наши персональные данные. Но есть одна угроза, на которую мы часто закрываем глаза.

Многие субъекты малого и среднего бизнеса активно собирают данные пользователей, но при этом обладают ограниченным бюджетом. У них нет денег на юристов по персональным данным и информационную безопасность. У крупных компаний есть ресурсы, они дорожат репутацией и заинтересованы в защите наших данных. Теперь нам необходимы решения, которые позволят и малому бизнесу заниматься информационной безопасностью и приватностью наших данных.

Вадим Перевалов

Вадим Перевалов

Директор юридического департамента ГК «Иннотех»: про то, как учесть интересы бизнеса DPO и cybersecurity

Старший научный сотрудник Высшей школы экономики Александр Савельев отметил важность либерализации подходов к обезличиванию данных и важность ответственности за утечку данных, которая в дальнейшем, помогает в установлении доверительных отношений между гражданами и государством.

Либерализация подхода к обезличиванию данных – путь к дальнейшему развитию. В обратном случае, мы обречены на отставание.

Данная фраза может звучать как некоторое лукавство. Если мы что-то либерализуем, это должно быть сбалансировано. Крайне важно помнить об ответственности. Объективно говоря, громких случаев о привлечении к ответственности в России за утечку персональных  данных попросту нет. И это подрывает доверие. К примеру, в  Китае смогли найти работающий баланс: при достаточно жестких вертикальных отношениях между человеком и государством, где приватность не имеет места быть, они выстраивают жесткую приватность в горизонтальных отношениях. Тем самым, они обеспечивают доверие к государству и крупным сервисам.

Александр Савельев

Александр Савельев

Cтарший научный сотрудник Высшей школы экономики

Форум Цифровой Безопасности Cyber Security Day — основное мероприятие 15-й Недели безопасного Рунета — общероссийской кампании, направленной на актуализацию общественного и профессионального обсуждения проблем безопасности в цифровую эпоху. Организаторами конференции выступают РАЭК, РОЦИТ и Общественная палата РФ. Мероприятие проходит при поддержке Координационного центра доменов .RU / .РФ и приурочено к Международному Дню безопасного Интернета.