По статистике, чаще всего «теряют» информацию медицинские организации (каждый пятый случай), государственные и образовательные учреждения (один случай из шести).
Касается каждого
Власти страны уже не один год пытаются свести к минимуму утечки персональных данных на разных уровнях. Особенно активны чиновники в сфере законотворчества. В 2006 году вышел федеральный закон «О персональных данных», затем в течение нескольких лет правительство и ФСТЭК выпустили ряд постановлений, его дополняющих; в 2011 году появилась новая редакция ФЗ, а в ноябре 2012 года утвердили правительственное постановление № 1119.
Несмотря на многолетние усилия, закон далек от совершенства. За отсутствие понятной терминологии, структуры и методологии его постоянно критикуют и участники рынка, и предприятия, поневоле привлеченные к обработке персональных данных. При этом под действие ФЗ подпадают практически все организации, так или иначе аккумулирующие ПД (даже если в компании всего один сотрудник, есть некоторое количество информации о нем). Неважно при этом, ведется ли на предприятии автоматическая обработка данных или они фиксируются на бумаге, хранится информация о сотрудниках на серверах, расположенных в России или за ее пределами. Положения ФЗ «О персональных данных» касаются каждой организации, легально работающей в нашей стране. По статистике Роскомнадзора, уполномоченного контролировать соблюдение ФЗ, сегодня в России обработкой ПД занимается более 5 млн операторов.
В настоящее время ФСТЭК, ФСБ и Роскомнадзор работают над очередными поправками к закону. Пока они не приняты, представление о том, как именно должны осуществляться сбор, обработка, хранение и утилизация персональных данных, у многих пока весьма туманное. Можно только догадываться, по какому принципу ответственные лица далеких от ИТ организаций относят информационные системы к тому или иному уровню защищенности. ФЗ предлагает осуществлять такое деление в зависимости от вида обрабатываемых персональных данных (специальные, биометрические, общедоступные, иные), типа актуальных угроз (1-й, 2-й, 3-й) и от количества обрабатываемых информационной системой субъектов ПД. Интересно также, в каком объеме на местах используются сертифицированные ФСТЭК средства обеспечения безопасности (межсетевые экраны, антивирусное ПО, системы контроля целостности данных, средства криптографии).
Роскомнадзор предупреждает
Органы власти адекватных мер, которые могли бы помочь операторам ПД по всей стране справиться с «трудностями перевода» закона и подзаконных актов на понятный каждому язык, не предпринимают. В Роскомнадзоре ограничиваются предупреждениями и угрозами. На официальном сайте ведомства можно найти перечень распространенных нарушений ФЗ (в основном, связанных с согласием субъектов на обработку ПД) и упоминания о штрафах и иных санкциях, грозящих за неисполнение официальных рекомендаций.
Роскомнадзор десятками закрывает справочные сайты с информацией о номерах телефонов и ФИО абонентов сетей сотовой и фиксированной связи, ресурсы с данными вузов, ГИБДД и медучреждений. В некоторых случаях нарушителей штрафуют. И если раньше со значительными суммами за раскрытие персональных данных приходилось расставаться в основном банкам, передававшим информацию о клиентах коллекторским агентствам, то теперь «наказывают рублем» и операторов связи (как «МегаФон» за утечку личных SMS), и даже коммунальные службы.
Недавно управляющая компания «ЖКХ-Сервис» из Тверской области передала данные о задолженности за коммунальные услуги предприятию «Тверьэнергогаз», которое затем разместило информацию о должнике на стене его дома. Мировой судья участка назначил «ЖКХ-Сервис» и компании «Тверьэнергогаз» штраф по 5 тыс. руб. за нарушение ФЗ «О персональных данных». Указанная в этом примере сумма выплат незначительна, однако в скором времени Роскомнадзор обещает увеличить штрафы, доведя их до полумиллиона рублей. За повторное нарушение ведомство планирует взимать до 700 тыс. руб. Чиновники рассчитывают, что эти меры заставят операторов ПД минимизировать утечки.
Власти настаивают, что все базы данных организаций-операторов должны быть приведены в соответствие с новой редакцией ФЗ. До 1 января 2013 года им необходимо было направить в территориальный орган Роскомнадзора РФ уведомление в установленной форме с приложением определенного пакета документов. Организациям, проигнорировавшим требования регулятора, грозит гражданская, административная, а в некоторых случаях даже уголовная ответственность.
Как защититься?
Конечно, предупреждения Роскомнадзора и угрозы крупных штрафов заставят многих потрудиться над приведением документальной базы в надлежащий вид. Однако эти меры все равно не помогут защититься от утечек на должном уровне организациям, в которых нет специалистов по информационной безопасности или хотя бы по ИТ.
Минимизировать количество инцидентов в данной области могло бы участие госорганов в обеспечении безопасности ПД бюджетных предприятий (включая образовательные учреждения, больницы, поликлиники). Власти могли бы централизованно определить для организаций, в которых нет специалистов по ИТ, набор средств защиты и перечень необходимых мероприятий.
Пока закон не доработан и системы защиты не построены, данные будут продолжать утекать. И поле для деятельности мошенников разного рода будет увеличиваться. Беззащитность наших персональных данных вызывает особенную тревогу в связи с намерениями властей обеспечить всех граждан к 2015 году электронными паспортами. Николай Никифоров, министр связи и массовых коммуникаций РФ, рассказал, что такие удостоверения личности можно будет использовать вместо водительского удостоверения, страхового полиса и пенсионного удостоверения, а также для получения электронных госуслуг и совершения платежных операций. Введение электронных удостоверений еще больше обострит проблему защиты персональных данных в России.