Куда и к кому «утекают» персональные данные?

По подсчетам экспертов по информационной безопасно¬сти, в 2013 г, в России произошло в два раза больше утечек персональных данных, чем годом ранее.

Больше других «теряли» персональные данные государственные учрежде­ния — здравоохранительные, образова­тельные и правоохранительные органы, на них пришлось 20% от всех утечек в стране. На втором месте в рейтинге самых беспеч­ных — предприятия из сферы ЖКХ (18%), бронзу получили финансово-кредитные организации с показателем 16%.

Персональные данные из года в год «утекают» все быстрее — эту неутеши­тельную тенденцию подтверждают данные Роскомнадзора, согласно которым в 2012 г. было составлено 5 359 протоколов о правонарушениях в сфере персональных данных, в то время как в 2011 г. — 4 901, а в 2010 г. — 2 996.

Согласно заключениям экспертов по ин­формационной безопасности, персональ­ные данные стали самым массовым типом утекающей информации в России, — на них пришелся 81% от всех российских утечек, тогда как в 2012 г. этот показатель соста­вил 65%.

Несмотря на бесконечные сообщения об утечках, на положения закона о персональ­ных данных, многие организации до сих пор не уделяют информационной безопасности должного внимания. Большинство компа­ний руководствуется принципом знамени­той пословицы: пока гром не грянет, мужик не перекрестится. Вопросам информацион­ной безопасности не занимаются до тех пор, пока не окажутся замешаны в неприятной истории с утечкой персональных данных.

Бытует мнение, что хакеры атакуют толь ко большие компании и беспокоиться об ин­формационной безопасности необходимо в первую очередь крупным организациям. Однако исследования говорят обратное: три четверти всех утечек персональных данных произошли в небольших компаниях и пред­приятиях.

«Данные «бегут» не только из крупных компаний, как принято думать. В инфор­мационных системах небольшого пред­приятия могут храниться тысячи записей,

которые содержат персональные данные: например интернет-магазины, отели, ресто­раны. И если для крупной компании потеря информации — серьезный удар по репу­тации, то для небольшой компании такой удар может стать фатальным», — коммен­тирует Дмитрий Слободенюк, директор ИТ-компании ARinteg.

Между тем, подавляющее число утечек до сих пор происходит через каналы, кото­рые могут быть перекрыты техническими средствами, чей выбор сегодня на рынке довольно широк как по функционалу, так и по стоимости.

«Утечки персональных данных проис­ходят по ряду причин: непонимание и пре­небрежение необходимостью создавать системы информационной безопасности, надежда на пресловутое «авось», неоправ­данная экономия на технических сред­ствах. Но прежде всего — это отсутствие серьезного наказания: когда закон обяжет платить виновников утечек действительно крупные штрафы и отвечать за утечки непо­средственно перед каждым клиентом, чьи данные были утеряны, — «реки» персональ­ных данных превратятся по крайней мере в ручьи», — считает г-н Слободенюк.

Если данные «утекают», значит, это кому-нибудь нужно? Безусловно. На черном рынке идет бойкая торговля персональны­ми данными: есть подороже, есть подешев­ле, каждому по вкусу и потребностям. Здесь можно привести данные зарубежных ана­литиков, которые подсчитали, из чего скла­дывается стоимость персональных данных. Самая дешевая — базовая информация о человеке — возраст, пол, местоположение. Тысяча таких записей стоит всего полдолла­ра. Информация подорожает на 20%, если к базовому набору прибавить данные о здоровье человека, на 10% — о семейном положении. Казалось бы — стоимость коле­блется в пределах доллара, но, несмотря на это, объемы рынка персональных данных исчисляются миллиардами, и эти показа­тели будут только расти. Количество компа­ний, в информационных системах которых хранятся персональные данные, увеличива­ется с каждым годом.

Вернемся к российским реалиям: в нашей стране вопросы защиты регулируют несколько документов, прежде всего Фе­деральный закон «О персональных данных» № 152-ФЗ, а также ряд других нормативных актов. Многие неадекватно оценивают всю сложность процедуры приведения инфор­мационной системы в соответствие с требо­ваниями законодательства РФ и пытаются сделать это самостоятельно.

«Как показывает опыт, без присутствия эксперта процедуры по приведению в со­ответствие с требованиями регуляторов превращаются в игру котенка с клубком шерсти — чем дальше, тем сложнее пута­ница. Есть два варианта развития событий. Оператор решает все выполнить сам, тратит время, нервы, но в результате не справляет­ся и обращается к профессионалам. Второй вариант — оператор доводит дело до конца самостоятельно, считает, что выполнил все требования, и живет спокойно до первой проверки регулятора, который указывает на многочисленные ошибки и заставляет платить штраф. Но есть и третий вариант развития, самый разумный и надежный: оператор персональных данных обраща­ется за помощью к профессионалам, у которых есть большой экспертный опыт в выполнении данных задач», — подытожи­вает Дмитрий Слободенюк.