Кража онлайн: когда российские банки научатся защищать клиентов
Дата публикации: 24 июля 2018
Эксперты по IT-безопасности обращают внимание на участившиеся скандалы, связанные с утечкой персональных данных клиентов банков, интернет-магазинов и даже госструктур. Например, на днях были распространены сообщения о том, что в поисковой выдаче «Яндекса» появились данные клиентов крупнейших российских банков, РЖД, единого транспортного портала правительства Москвы и др. За две недели до этого разразился скандал c Google Docs в поисковой выдаче «Яндекса». Похоже, что с ростом общего объема информации, количества разнообразных интернет-сервисов риски таких утечек будут возрастать.
Главный аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян рассказал РБК Петербург о возможных причинах утечек персональных данных, а также описал общее состояние российской системы охраны персональных данных:
«Кривые руки»
«В данном случае, причиной утечки информации являются «кривые руки» системных администраторов компаний, которые не защищают индивидуальные ссылки, не шифруют соединения, не защищают директории от поисковых краулеров, не настраивают правильно вэб-серверы. В некотором смысле, главные риски не в системах безопасности банков, а в интернет-сервисах, которые они используют. Банки допускают ошибки в реализации систем онлайн-банкинга, сайтов.
Ответственность за безопасность информации у нас разделена. У банков есть определенные требования к безопасному хранению документов, транзакций, за которые они отчитываются перед Центробанком. Однако, технологичные вещи — безопасность интернет-сервисов банков — до сих пор не очень хорошо контролировались. Недавно Центробанк проводил массовые проверки банков в этой сфере и получил очень неутешительные результаты. По большому счету работа в этой сфере еще только начинается.
Бизнесу зачастую проще жить от проверки до проверки и платить штрафы, платить юристам, чтобы они исправляли ошибки в документах, чем заниматься защитой данных. Благо максимальный размер штрафа у нас до сих пор 50 тыс. рублей. Так что бизнес обычно живет на авось до следующей проверки.
Неадекватные наказания
Контролирует эту сферу Роскомнадзор. Он штрафует за нарушения, также есть возможность подать в суд от неограниченного круга лиц. Роскомнадзор достаточно эффективен, но модель регулирования, принятая в России, на настоящий момент не предполагает активного (за исключением плановых и внеплановых проверок) движения в сторону пресечения утечек. Когда происходят утечки, наказание не всегда достигает своей цели. В целом, я бы не сказал, что существующие штрафы за утечки персональных данных являются адекватными возможному риску.
Штрафы у нас не различаются в зависимости от последствий нарушений — например, произошла ли утечка адреса электронной почты или банковских данных. Тонкая градация отсутствует. Это дефект — у нас в законодательстве вообще нет категоризации персональных данных. Отдельно есть только биометрия. Я считаю, что систему наказаний неплохо бы пересмотреть.
Закон устарел
Дело в том, что наше законодательство является копией с европейских директив конца прошлого века (они являлись моделью для многих стран мира) и сейчас оно в некоторых аспектах устарело. Возникли противоречия не только с устоявшейся практикой, но и с технологическим прогрессом.
С одной стороны, у 152-ФЗ «О персональных данных» достаточно много ограничений, требование согласия пользователей всегда было и есть. С другой стороны, в законе много места отведено трактовкам событий, пунктов, положений, регуляторам, надзорным органам. При этом много неясностей. Например, без уточнения у Роскомнадзора, никто вменяемо не может сказать, является ли тот или иной набор данных персональным. Это создает «серую зону» — поле для злоупотреблений. В то же время, многие технологии и практики, которые могли бы быть востребованы и полезны, тоже сваливаются в «серую зону». На мой взгляд, это одна из основных проблем, которую нужно решать и в каком-то обновлении выкладывать.
Как я понимаю, у нас запланированы определенные изменения законодательства в связи с программой «Цифровая экономика», посмотрим, какие это будут изменения...Пока же система регулирования не удовлетворяет требованиям жизни — ограничения неадекватны последствиям злоупотреблений при утечке данных, а само регулирование неадекватно технологиям.
Яркий пример — определение геолокации. Операторы не имеют права передавать их третьим лицам. С другой стороны, все банки мечтают о подобных данных, чтобы предотвращать случаи мошенничества. Потому что, если клиент физически находится в одном месте, а деньги сняли в другом, то это очень похоже на криминал.
Всеобщая безответственность
Помимо проблем с законом, есть проблемы и в правоприменении. Например, регулирующие и правоохранительные государственные органы, имеющие особые права на получение персональных данных граждан, должны нести повышенную ответственность за утечку данных, но, к сожалению, они ее не несут. У Роскомнадзора часто не хватает полномочий проверять и наказывать органы государственной власти за нарушения, связанные со 152-ФЗ. В случаях похищения данных из баз госорганов ответственность зачастую никто не несет. Единичны случаи, когда возбуждались уголовные дела и доводились до конца.
Корень этой проблемы — во всеобщем правовом нигилизме. Я наблюдаю в принципе некое призрение тому факту, что существуют персональные данные и они несут ценность для участников рынка и граждан, и о том, что они нуждаются в защите со стороны государства и бизнеса. Печально, что граждане не особо ответственно относятся к своим собственным персональным данным, в некотором смысле — это правовой нигилизм. Закон существует, но участники процесса не очень адекватно воспринимают ситуацию.
Между свободой и безопасностью
Все это порождает проблему определения баланса между возможностью гражданина свободно участвовать в глобальной коммуникационной системе (что неизбежно влечет доступ третьих лиц к персональным данным) и его privacy.
Граница privacy зависит от страны и традиций, которые в ней заложены. Например, в США или Евросоюзе модели кардинально различаются, особенно с принятием европейского регламента по защите персональных данных, самых жестких в мире. Во многих азиатских странах баланс сильно смещен в сторону компаний. Там защита персональных данных находится на достаточно низком уровне. В России, где правовая система только складывается, мы выбрали путь близкий к европейскому и наше законодательство построено по европейской модели. Поэтому нам нужно идти по пути большей защиты персональных данных пользователей. Privacy должно однозначно соблюдаться по умолчанию. Правила должны быть четкими, ясными и понятными, чтобы у нас у бизнеса не болела голова о том, что придет проверка и что-то найдет.
В начале пути
По существу, наше законодательство и практика его применения в сфере защиты персональных данных еще только формируется. В этом мы не оригинальны. В Европе законодательство о персональных данных тоже появилось только в 1981 году и прошло 40 лет, пока оно стало прозрачным и жестким. У нас законодательство появилось только в 2006 году, так что нам еще идти и идти.
Россия уже приняла часть международных обязательств, в частности, подписала «Конвенцию о защите физических лиц при автоматизированной обработке персональных данных» (ETS N 108). Сейчас Евросоюз модифицирует эту конвенцию и если мы хотим остаться в мэйнстриме, нам скорее всего придется соответственно модернизировать свое законодательство.
Наши власти такой вариант рассматривают. Месяц назад у нас была большая встреча по поводу персональных данных с Роскомнадзором. Сотрудники ведомства говорили, что внимательно изучают европейскую практику, смотрят, как она складывается. И в целом, они настроены позитивно к изменениям и нашего законодательства, и практики его применения».
Источник: https://www.rbc.ru/spb_sz/24/07/2018/5b56e5089a794783c84a4652?from=regional_newsfeed