Директор по консалтингу ГК InfoWatch Ирина Зиновкина и зампредседателя Комитета Госдумы по информационной политике, информтехнологиям и связи Антон Горелкин рассказали о защите персональных данных.
«Новый законопроект Минцифры не станет абсолютным гарантом безопасности персональных данных, однако совершенно точно замотивирует организации более комплексно подходить к внедрению мер по защите. Ранее компании видели для себя более приемлемым вариантом оплату штрафа всего лишь в несколько десятков тысяч рублей, чем траты не одного миллиона на обеспечение безопасности», — отметила Зиновкина.
Антон Горелкин выразил мнение, что Задача этого законопроекта — сделать так, чтобы компании серьезно вкладывались в развитие собственной инфобезобасности. Сейчас штрафы сравнительно небольшие, и чисто экономически многим организациям выгоднее заплатить штраф, чем содержать штат специалистов по информационной безопасности, отметил он.
«Это, конечно, недопустимая ситуация. Кроме оборотных штрафов, на мой взгляд, нужно вводить меры персональной ответственности первых руководителей компаний за утечки персональных данных», — сказал Горелкин.
Не все утечки — следствие хакерских атак. Многие из них происходят по халатности или злому умыслу сотрудников компании, отметил депутат.
«Например, так случилось в истории со взломом Rutube, к которой отказался причастен бывший программист, сохранивший доступ к системе. Но даже такие случаи можно предотвратить, выстроив современную защиту, назначив это направление приоритетным. Бизнес обязан следить за сохранностью персональных данных своих клиентов, ведь это их собственность, которую они доверяют компаниям, а государство должно пристально следить за добросовестностью этих отношений», — сказал Горелкин.
Бизнес в любом случае должен защищать данные своих клиентов: не только из-за штрафов, но и из-за репутационных рисков и возможного оттока клиентов вследствие утечки, отметила Зиновкина.
«Я сторонник применения исключительно отечественных решений в области информационной безопасности. Используя зарубежные средства безопасности, мы не можем быть уверены, что исключена возможность несанкционированного доступа из-за рубежа. А в нынешней ситуации это может быть не только фактором недобросовестной конкуренции, но и национальной безопасности. Поэтому я призываю российские компании выбирать ИБ-инструментарий, который присутствует в реестре отечественного ПО, благо выбор там большой, под разные нужны и задачи», — сказал Горелкин.
Эксперты отметили, что существует четыре основных категории данных, чаще всего «утекающих» в третьи руки: информация о клиентах, информация о компании, коммерческая тайна и аналитика. Вероятных причин этого много: неправильная настройка программного обеспечения или его уязвимости, использование VPN для доступа к корпоративной сети, социальная инженерия, слабые пароли, кража или потеря содержащих ее устройств и внутренние угрозы, такие как недобросовестные сотрудники или промышленный шпионаж.