Уже в ноябре этого года Национальный центр защиты персональных данных (Центр) будет праздновать свой 4-й день рождения. Столько же в мае исполнилось закону «О защите персональных данных». О том, что изменилось в бизнес-среде Беларуси за это время, ibMedia побеседовал с директором Центра Андреем Гаевым.
– Андрей Анатольевич, кому сегодня стоит особенно задуматься над защитой персональных данных?
– Персональные данные весьма значимы для всех – граждан, бизнеса, государства.
Для человека последствия несанкционированного доступа к таким данным могут быть самыми разными, но они всегда связаны с потерей приватности, конфиденциальности, а нередко еще и сбережений.
Одна из самых серьезных проблем для бизнеса – это потеря репутации
Она зарабатывается годами, но может испариться в одночасье. В случае утечек персональных данных, помимо репутационных потерь, бизнес несет еще и финансовые. Недавно произошел инцидент, в результате которого в сеть утекла база данных с информацией о более чем 100 тыс. граждан – компания буквально за пару дней потеряла шестизначную сумму денег.
Поэтому для каждого человека критически важно знать свои права и пользоваться ими, для организаций – соблюдать требования законодательства, принимать меры по защите информации, в том числе персональных данных. А в масштабах государства инциденты с ними напрямую связаны с вопросами национальной безопасности.
– Какое значение для бизнеса имеет организация работы с персональными данными?
– Это правило хорошего тона. Радует, что ответственный бизнес рассматривает вопрос защиты персональных данных не как лишнюю обязанность, а как конкурентное преимущество. Конечно, тема внутреннего контроля за обработкой персональных данных в организации не будет любима маркетологами, у которых стоит другая задача – продать.
Но здесь надо находить баланс между желанием заработать и целью не потерять репутацию и финансы.
Конечно, говорить, что все идеально, нельзя. Есть организации, которые ждут, чтобы сначала кто-то другой организовал работу с персональными данными, а потом посмотреть, что из этого получится. Отечественный опыт и практика зарубежных стран показывают, что такой подход не оправдывается.
Проблему надо предупредить, при ее возникновении принимать меры оказывается гораздо сложнее, дороже и не всегда эффективно
– Как изменилось отношение к персональным данным в Беларуси с момента, когда к вопросу их защиты подключилось государство?
– Еще лет 10 назад мало кто серьезно относился к защите личной информации – тогда компании думали прежде всего о том, как создать более удобные условия для того или иного процесса. Однако психология людей и бизнеса меняется, а вместе с ней и отношение к вопросам личной информации.
Сейчас, спустя почти 4 года работы Центра, мы видим повышение правовой культуры и правового сознания людей и бизнеса. Это заметно по содержанию и количеству поступающих к нам обращений – граждане и юридические лица понимают процессы обработки персональных данных, и проблемные моменты в этой сфере поднимаются ими очень грамотно.
Также заметно, что гораздо больше организаций уделяет внимание вопросам технической и криптографической защиты персональных данных. Инциденты, которые имеют место в настоящее время, часто связаны с нереализацией именно этой меры. Это случаи, когда утечка происходит в неаттестованных, незащищенных контурах, в том числе когда злоумышленники проникают в сеть, к серверам, к информационным ресурсам и системам через аутсорсинговые организации.
Количество инцидентов с серьезными последствиями, утечек, в том числе связанных с действиями персонала, уменьшилось. Это, помимо прочего, свидетельствует о том, что понимание значимости личных данных и ответственности за нарушения при их обработке растет. Значит, бизнес постепенно перестраивается.
– Что необходимо бизнесу для окончательного принятия важности защиты персональных данных?
– Для того чтобы выстроить систему защиты, требуется в первую очередь желание и, конечно, время и средства. Но на это однозначно надо идти, ведь любой бизнес зарабатывает на товарах и услугах, конечным потребителем которых является человек, который рассчитывает на то, чтобы, зарабатывая на нем, с его данными обращались уважительно, бережно и принимались меры по их защите.
Анализируя практику многих государств, мы видим, что законодательные акты о персональных данных «приживались» в обществе 20–30 лет. У нас столько времени на внедрение изменений и адаптацию к ним нет – с развитием технологий время бежит гораздо быстрее, новые вызовы требуют оперативных решений.
– С ростом осведомленности о персональных данных появляются ли злоупотребления в данной сфере?
– Да, от этого никуда не денешься, и при принятии Закона изучался опыт других стран по этому вопросу.
Их допускают как граждане, так и организации. Первые могут устраивать своеобразный экзамен оператору о том, как обрабатываются его персональные данные.
Совет операторам в таких случаях может быть только один – соблюдать закон, работать в строгом соответствии с нормами права
Злоупотребления со стороны бизнеса также встречаются. Некоторые организации жалуются в Центр на конкурентов, указывая на имеющиеся в их деятельности упущения. При этом сами забывают взглянуть на себя, допуская не меньше нарушений.
Мы такие вещи видим и соответствующим образом реагируем – перед законом равны все.
В зарубежных юрисдикциях для противодействия таким проявлениям используются разные механизмы, и мы их изучаем. Но универсального механизма нигде нет. В Беларуси на предупреждение таких действий направлен ряд норм – они закрепляют полномочия Центра на дачу разъяснений, рассмотрение жалоб, осуществление контроля и т.д. Реализуя их, мы стараемся обеспечить баланс интересов гражданина – субъекта персональных данных и оператора.
– Насколько реален для бизнеса риск утечки персональных данных?
– Инциденты с утечкой персональных данных, к сожалению, происходят. В текущем году в Центр поступило 21 уведомление различного характера о проблемах в деятельности организаций, в том числе об утечках, которые в совокупности затронули 285 тыс. записей о гражданах.
С одной стороны, понимаем крайнюю актуальность необходимости делать все возможное, чтобы количество таких инцидентов уменьшалось. С другой стороны, утечки и обращения в связи с ними никуда не исчезнут, ведь внимание к персональным данным лишь возрастает.
Невзламываемых ресурсов и информационных систем не существует – это вопрос времени и средств
Правда, зачем злоумышленникам их тратить на защищенные контуры, когда гораздо легче достичь желаемого с абсолютно доступными?
Поэтому не только Центр, но и другие структуры – Оперативно-аналитический центр при Президенте Республики Беларусь, органы внутренних дел, Следственного комитета и др., – уполномоченные осуществлять регулирование в цифровой среде, принимают меры, чтобы проблемы не только решались, но и, что самое главное, предупреждались.
Стараемся не допустить утечек и в превентивном порядке проводим методологическую, разъяснительную, просветительскую работу, мониторинг происходящего в интернете, в том числе сайтов. Если при этом выявляются нарушения – зачастую это избыточно обрабатываемые или обрабатываемые без правовых оснований либо незащищенные персональные данные, – то принимаются необходимые меры, включая удаление подобных сведений.
С начала года удалено более 3 млн таких данных в виде цифровых записей и около 3 млн аудио- и видеофайлов.
Сегодня есть все, чтобы не породить проблем с персональными данными: законодательство, уполномоченный орган, формы документов, алгоритмы действий, рекомендации. Государство создает для этого условия, как предусмотрено ст. 28 Конституции Республики Беларусь.
– По каким причинам происходит утечка информации?
– В основном инциденты, происходившие в последние годы, связаны, как упоминалось, с непринятием мер по технической и криптографической защите информации – данная мера была установлена более 12 лет назад соответствующим Указом.
Нереализация этой меры способствует успешным атакам на незащищенные ресурсы, в том числе с необновленным ПО, что и приводит к утечке информации, включая личные данные.
Нередко взлом осуществляется не через самого оператора, а через аутсорсинговую организацию – уполномоченное лицо
В этом случае организация, доверяя тот или иной процесс такому лицу, предоставляет ему доступ к своим информационным ресурсам и системам. И если партнер не реализовал меры по защите информации, то взлом осуществляется через него.
Как показывает практика последних инцидентов, уполномоченное лицо зачастую находится на территории иностранных государств. Поэтому нужно соблюдать требования Указа «О мерах по совершенствованию использования национального сегмента сети Интернет». В нем закреплено, что оказание услуг, выполнение работ на территории Беларуси должно осуществляться с применением информационных ресурсов и систем, зарегистрированных в нашем национальном сегменте.
– В чем особенности проверок Центра для бизнеса?
– Контрольные мероприятия мы всегда проводим точечно и стремимся бизнесу помогать. Основная цель – не наказать виновных, а способствовать выстроить дело так, чтобы в работе компании с личной информацией был порядок.
По итогам проверок мы составляем акты и предписания, объем которых может быть достаточно внушительным и доходить до нескольких десятков листов. Это не столько перечень нарушений, сколько подробная описательная часть: что конкретно надо сделать для их устранения, где взять необходимую информацию, формы документов и т.д.
За рубежом разная практика в этом вопросе. Некоторые из наших коллег по итогам проверки дают лист, в котором указаны нарушенные нормы, а напротив них проставляются галочки. Но в чем конкретно состоит нарушение, организации приходится разбираться самостоятельно.
Мы идем несколько иным путем и, работая на предупреждение, четко показываем, почему нарушение имеет место и что надо сделать для его устранения и недопущения в будущем.
– Может ли организация после проверок обжаловать решения Центра в суде? Как часто такое происходит?
– Состоявшихся решений по данному вопросу ровным счетом одно. По итогам одной из проверок организация не согласилась с рядом требований, вынесенных Центром. Но суд требования Центра признал обоснованными, и деятельность организации была приведена в соответствие с нормами закона. Так что обжалования не носят массового характера.
Мы работаем объективно, стараемся быть убедительными и взаимодействуем с организациями от момента проверки до устранения нарушения.
– Чем еще Центр может помочь бизнесу?
– Стремимся делать все, чтобы условия реализации законодательства о персональных данных были четкими. Разъяснительная работа продолжается, но сегодня носит несколько иной характер, чем в начале. Центр перешел от разъяснения норм права к предоставлению адаптированных пакетов решений к отдельным направлениям деятельности. В них входят типовые документы, образцы, рекомендации, необходимые для обработки персональных данных, описание алгоритмов действий и т.д.
Уже завершена такая работа для организаций двух сфер – образования и здравоохранения. Помимо того, что эти сферы являются социально значимыми, в них обрабатываются весьма значительные массивы информации, касающиеся, по сути, каждого гражданина. При этом в школе или поликлинике не всегда можно найти юриста, который мог бы одновременно решать вопросы правовой организации учебного или лечебного процесса и работать с персональными данными.
Теперь таким организациям не нужно самим разрабатывать требуемые документы с нуля – достаточно взять типовые решения и, при необходимости, внести в них небольшие корректировки, учитывающие специфику деятельности.
По результатам анализа выявляемых Центром по итогам контрольной деятельности нарушений законодательства о персональных данных подготовлен чек-лист для всех организаций, независимо от их размера, сферы деятельности и т.д. Он позволит любому субъекту хозяйствования изучить ошибки, которые возникали у других компаний, и должным образом организовать свою работу.
Совсем недавно завершена работа над созданием разъяснений для малого и среднего бизнеса, подготовлен чек-лист по организации их деятельности в рамках законодательства о персональных данных. Представителям такого бизнеса сложно обладать глубокими познаниями в этой сфере, поэтому объективно необходимо помочь им работать, соблюдая законодательство. Подготовлен также пакет готовых форм и документов (так называемый «Портфель оператора»).
– Хватает ли в Беларуси специалистов в сфере защиты персональных данных?
– Чуть более 3 лет назад на базе Центра стартовали курсы повышения квалификации по вопросам защиты персональных данных. До этого в Беларуси таких программ не было. За это время обучающие мероприятия прошли более 12 тыс. человек, а в различного рода просветительских проектах приняли участие более 35 тыс. человек.
Это крайне важно, потому как знания – это ключ к защите своей конфиденциальности в цифровом мире
Кроме того, сегодня в Институте информационных технологий БГУИР по инициативе Центра успешно проводится переподготовка на базе высшего образования, и за 1,5–2 года реально стать профессионально подготовленным специалистом по защите данных.
К слову, уже сформировалось профессиональное сообщество специалистов в сфере защиты персональных данных. Работая в своих организациях, изучая все актуальные направления действий с персональными данными, они общаются между собой и обмениваются опытом.
В Центре периодически проводятся мероприятия для таких специалистов, которые позволяют им развивать свои профессиональные навыки, компетенции, обмениваться опытом.
Сейчас на завершающем этапе находится выработка решения по созданию профессиональной площадки для общения специалистов в сфере защиты персональных данных, ответственных за внутренний контроль в организациях, на базе которой они смогут взаимодействовать по профессиональному интересу. К этому пулу специалистов смогут присоединиться все желающие, в том числе граждане, которых интересует данная тематика. Ожидаем, что такая площадка будет создана уже в этом году.
Источник: ibMedia