На прошлой неделе в качестве делегата посетил конференцию ЦИПР 2023 «Цифровая индустрия промышленной России». Но предварительно ответил на ряд вопросов для электронного издания ЦИПР — 2023, посвященных импортозамещению и безопасности в ИТ, безопасности персональных данных (ПДн), в том числе биометрических ПДн. Выдержка из них была опубликована и, пока я пишу статью о том, что увидел и услышал на ряде секций ЦИПР.
Если брать отрасли ИТ и средств защиты информации (часто обобщают до «отрасль ИБ»), то появился шанс занять в России ниши иностранных продуктов, расширить функциональность своих. Кроме того, как эксперт по новым проектам, часто вижу заявки на создание продуктов в тех областях, где ранее не было автоматизации (цифровизации) — ни у иностранцев, ни у россиян.
И спрос на импортозамещение есть — кто-то из зарубежных вендоров ушел, а с января 2025 большинству организаций будет нельзя использовать иностранные СЗИ, закупать иностранное ПО.
Но остаётся критичный момент — наше ПО всё равно работает на иностранном «железе», даже если часть электроники создана у нас.
Здесь скорее вопрос — а есть ли деньги и время на замену систем управления производством, технологическими и производственными процессами, которые стоят сотни миллионов рублей, а также возможности их остановки. Это при условии, что будет на чём проверить функциональность, надежность и производительность российских аналогов.
Информация об иностранных системах всё равно будет поступать. Другой вопрос, как это повлияет на качество наших продуктов без доступа на рынок в качестве поставщиков.
Доступ до последнего времени был, хотя в ряде случаев ограничен, как, например, в сфере ИБ.
Думаю, качество зависит от реальной конкуренции, и если она будет на внутреннем рынке России, на рынке БРИКС, то у наших продуктов есть шансы быть лучшими, или, по крайней мере, не хуже традиционных лидеров.
За прошлый год зарегистрирован резкий рост количества утечек: в мире в среднем в 3,57 раза, хотя в отдельных странах есть рост и в 5, и в 9 раз. В России в 2022 году количество утечек по сравнению с 2021 годом выросло в 2,1 раза, а по сравнению с 2019-м — в 1,66, продолжается рост и в первом квартале 2023 года (по сравнению с аналогичными показателями 2022 года). Основную долю среди видов «утекающей» информации по-прежнему занимают персональные данные, в среднем 88-90%. Подробнее — в аналитических отчётах InfoWatch, опубликованных 8 и 17 апреля.
Значительное количество зарегистрированных утечек происходит за счёт внешнего вектора воздействия, поэтому, если иностранные СЗИ вдруг «превращаются в тыкву», или прекращается их обновление, в т.ч. закрытие выявленных уязвимостей, как это было в прошлом году, то понятно, что это способствует резкому росту атак, сопровождающихся утечками информации, нарушением работы предприятий и т.д.
Что касается, например, систем противодействия утечкам за счёт внутреннего нарушителя, то в стране в последние годы стали преобладать российские СЗИ, что повлияло на снижение доли таких утечек. Но важно отметить, что возросла и цена последствий утечек по вине внутреннего нарушителя.
С точки зрения непосредственной защиты информации — ничего нового. Надо грамотно проектировать и вводить в эксплуатацию подсистемы защиты информационных систем, скрупулёзно выполнять требования по эксплуатации со стороны пользователей и администраторов систем. При этом важно не относиться к задачам ИБ как вторичным — «случится, будем думать», внимательно относиться к предложениям своих ИБ-специалистов, больше доверять им. Затраты окупятся.
Что касается стимулирования владельцев охраняемой законом информации и антистимулирования криминала, то важно не только находить и привлекать к ответственности продавцов данных, но и проводить проверки в организациях, из которых эти данные утекли, выявлять причины, виновных в содействии или халатности, а также тех, кто не уделял ИБ достаточно внимания и ресурсов, не превращать специалистов по ИБ в «козлов отпущения», как это порой бывает.
Мы проводили исследования административной и уголовной практики в РФ по вопросам, связанным с нарушениями в сфере обработки и защиты информации, публиковали отчёты на эту тему. К сожалению, материалов в открытом доступе по уголовным и административным делам, прежде всего в ГАС Правосудие, опубликовано не так много. Но можно сделать вывод, что наказания несущественные, по типам нарушений — часто это публикации перечня должников или т.п. Речь идет о конфиденциальной информации, в т.ч. персональных данных.
Что касается оборотных штрафов, то они окажут определенное влияние на усиление мер защиты в крупных и средних организациях. Но чтобы обоснованно наказывать за утечки персональных данных, очень важно проводить точную идентификацию такой утечки и затем расследование в самой организации, собирать доказательства.
Посмотрим на проект закона, а после его принятия — на правоприменительную практику.
Минцифры за последнее время выпустило значительное количество приказов по этой теме, то есть уделяется большое внимание.
Думаю, что в сфере защиты биометрических данных наиболее перспективным является развитие и применение технологий «отменяемой биометрии».