Ужо ў лістападзе гэтага года Нацыянальны цэнтр абароны персанальных даных (Цэнтр) будзе святкаваць свой 4-ты дзень нараджэння. Столькі ж у маі споўнілася закону «Аб абароне персанальных даных». Пра тое, што змянілася ў бізнес-асяроддзі Беларусі за гэты час, ibMedia паразмаўляў з дырэктарам Цэнтра Андрэем Гаевым.
– Андрэй Анатольевіч, каму сёння варта асабліва задумацца над абаронай персанальных даных?
– Персанальныя даныя вельмі значныя для ўсіх – грамадзян, бізнесу, дзяржавы.
Для чалавека наступствы несанкцыянаванага доступу да такіх даных могуць быць самымі рознымі, але яны заўсёды злучаны са стратай прыватнасці, канфідэнцыйнасці, а нярэдка яшчэ і зберажэнняў.
Адна з самых сур’ёзных праблем для бізнесу – гэта страта рэпутацыі.
Яна зарабляецца гадамі, але можа выпарыцца раптоўна. У выпадку ўцечак персанальных даных, апроч рэпутацыйных страт, бізнес нясе яшчэ і фінансавыя. Нядаўна адбыўся інцыдэнт, у выніку якога ў сетку выцекла база даных з інфармацыяй аб больш за 100 тыс. грамадзян – кампанія літаральна за пару дзён страціла шасцізначную суму грошай.
Таму для кожнага чалавека крытычна важна ведаць свае правы і карыстацца імі, для арганізацый – выконваць патрабаванні заканадаўства, прымаць меры па абароне інфармацыі, у тым ліку персанальных даных. А ў маштабах дзяржавы інцыдэнты з імі напрамую звязаны з пытаннямі нацыянальнай бяспекі.
– Якое значэнне для бізнесу мае арганізацыя працы з персанальнымі данымі?
– Гэта правіла добрага тону. Радуе, што адказны бізнес разглядае пытанне абароны персанальных даных не як лішні абавязак, а як канкурэнтную перавагу. Вядома, тэма ўнутранага кантролю за апрацоўкай персанальных даных у арганізацыі не будзе любая маркетолагам, у якіх стаіць іншая задача – прадаць.
Але тут трэба знаходзіць баланс паміж жаданнем зарабіць і мэтай не страціць рэпутацыю і фінансы.
Канешне, казаць, што ўсё ідэальна, нельга. Ёсць арганізацыі, якія чакаюць, каб спачатку нехта іншы арганізаваў працу з персанальнымі данымі, а потым паглядзець, што з гэтага атрымаецца. Айчынны досвед і практыка замежных краін паказваюць, што такі падыход не апраўдваецца.
Праблему трэба папярэдзіць, пры яе ўзнікненні прымаць меры аказваецца значна складаней, даражэй і не заўсёды эфектыўна.
– Як змянілася стаўленне да персанальных даных у Беларусі з моманту, калі да пытання іх абароны падключылася дзяржава?
– Яшчэ гадоў 10 таму мала хто сур’ёзна ставіўся да абароны асабістай інфармацыі – тады кампаніі думалі перш за ўсё аб тым, як стварыць больш зручныя ўмовы для таго ці іншага працэсу. Аднак псіхалогія людзей і бізнесу мяняецца, а разам з ёй і стаўленне да пытанняў асабістай інфармацыі.
Цяпер, амаль праз 4 гады працы Цэнтра, мы бачым павышэнне прававой культуры і прававой свядомасці людзей і бізнесу. Гэта прыкметна па змесце і колькасці зваротаў, якія паступаюць да нас, – грамадзяне і юрыдычныя асобы разумеюць працэсы апрацоўкі персанальных даных, і праблемныя моманты ў гэтай сферы ўзнімаюцца імі вельмі пісьменна.
Таксама заўважна, што значна больш арганізацый надае ўвагу пытанням тэхнічнай і крыптаграфічнай абароны персанальных даных. Інцыдэнты, якія маюць месца у цяперашні час, часта звязаны з нерэалізацыяй менавіта гэтай меры. Гэта выпадкі, калі ўцечка адбываецца ў неатэставаных, неабароненых контурах, у тым ліку калі зламыснікі пранікаюць у сетку, да сервераў, да інфармацыйных рэсурсаў і сістэм праз аўтсорсінгавыя арганізацыі.
Колькасць інцыдэнтаў з сур’ёзнымі наступствамі, уцечак, у тым ліку звязаных з дзеяннямі персаналу, зменшылася. Гэта, апроч іншага, сведчыць аб тым, што разуменне значнасці асабістых даных і адказнасці за парушэнні пры іх апрацоўцы расце. Значыць, бізнес паступова перабудоўваецца.
– Што неабходна бізнесу для канчатковага прыняцця важнасці абароны персанальных даных?
– Для таго каб выбудаваць сістэму абароны, патрабуецца ў першую чаргу жаданне і, вядома, час і сродкі. Але на гэта адназначна трэба ісці, бо любы бізнес зарабляе на таварах і паслугах, канчатковым спажыўцом якіх з’яўляецца чалавек, які разлічвае на тое, каб, зарабляючы на ім, з яго данымі абыходзіліся паважліва, беражліва і прымаліся меры па іх абароне.
Аналізуючы практыку многіх дзяржаў, мы бачым, што заканадаўчыя акты аб персанальных даных «прыжываліся» ў грамадстве 20-30 гадоў. У нас столькі часу на ўкараненне змен і адаптацыю да іх няма – з развіццём тэхналогій час бяжыць значна хутчэй, новыя выклікі патрабуюць аператыўных рашэнняў.
– З ростам дасведчанасці аб персанальных даных ці з’яўляюцца злоўжыванні ў дадзенай сферы?
– Так, ад гэтага нікуды не дзенешся, і пры прыняцці Закона вывучаўся вопыт іншых краін па гэтым пытанні.
Іх дапускаюць як грамадзяне, так і арганізацыі. Першыя могуць ладзіць своеасаблівы экзамен аператару аб тым, як апрацоўваюцца яго персанальныя даныя.
Савет аператарам у такіх выпадках можа быць толькі адзін – выконваць закон, працаваць у строгай адпаведнасці з нормамі права.
Злоўжыванні з боку бізнесу таксама сустракаюцца. Некаторыя арганізацыі скардзяцца ў Цэнтр на канкурэнтаў, паказваючы на існуючыя ў іх дзейнасці недагляды. Пры гэтым самі забываюць зірнуць на сябе, дапускаючы не менш парушэнняў.
Мы такія рэчы бачым і адпаведным чынам рэагуем – перад законам роўныя ўсе.
У замежных юрысдыкцыях для процідзеяння такім праявам выкарыстоўваюцца розныя механізмы, і мы іх вывучаем. Але ўніверсальнага механізму нідзе няма. У Беларусі на папярэджанне такіх дзеянняў накіраваны шэраг норм – яны замацоўваюць паўнамоцтвы Цэнтра на дачу тлумачэнняў, разгляд скаргаў, ажыццяўленне кантролю і г.д. Рэалізуючы іх, мы імкнемся забяспечыць баланс інтарэсаў грамадзяніна – суб’екта персанальных даных і аператара.
– Наколькі рэальная для бізнесу рызыка ўцечкі персанальных даных?
– Інцыдэнты з уцечкай персанальных даных, на жаль, адбываюцца. У бягучым годзе ў Цэнтр паступіла 21 паведамленне рознага характару аб праблемах у дзейнасці арганізацый, у тым ліку аб уцечках, якія ў сукупнасці закранулі 285 тыс. запісаў аб грамадзянах.
З аднаго боку, разумеем крайнюю актуальнасць неабходнасці рабіць усё магчымае, каб колькасць такіх інцыдэнтаў памяншалася. З іншага боку, уцечкі і звароты ў сувязі з імі нікуды не знікнуць, бо ўвага да персанальных даных толькі ўзрастае.
Неўзломных рэсурсаў і інфармацыйных сістэм не існуе – гэта пытанне часу і сродкаў.
Праўда, навошта зламыснікам іх марнаваць на абароненыя контуры, калі значна лягчэй дасягнуць жаданага з абсалютна даступнымі?
Таму не толькі Цэнтр, але і іншыя структуры – Аператыўна-аналітычны цэнтр пры Прэзідэнце Рэспублікі Беларусь, органы ўнутраных спраў, Следчага камітэта і інш., – упаўнаважаныя ажыццяўляць рэгуляванне ў лічбавым асяроддзі, прымаюць меры, каб праблемы не толькі вырашаліся, але і, што самае галоўнае, папярэджваліся.
Імкнемся не дапусціць уцечак і ў прэвентыўным парадку праводзім метадалагічную, тлумачальную, асветніцкую працу, маніторынг таго, што адбываецца ў інтэрнэце, у тым ліку сайтаў. Калі пры гэтым выяўляюцца парушэнні – часцяком гэта залішне апрацоўваемыя або апрацоўваемыя без прававых падстаў або неабароненыя персанальныя даныя, – то прымаюцца неабходныя меры, уключаючы выдаленне падобных звестак.
З пачатку года выдалена больш за 3 млн такіх даных у выглядзе лічбавых запісаў і каля 3 млн аўдыё- і відэафайлаў.
Сёння ёсць усё, каб не спарадзіць праблем з персанальнымі данымі: заканадаўства, упаўнаважаны орган, формы дакументаў, алгарытмы дзеянняў, рэкамендацыі. Дзяржава стварае для гэтага ўмовы, як прадугледжана арт. 28 Канстытуцыі Рэспублікі Беларусь.
– Па якіх прычынах адбываецца ўцечка інфармацыі?
– У асноўным інцыдэнты, якія адбываліся ў апошнія гады, звязаны, як згадвалася, з непрыняццем мер па тэхнічнай і крыптаграфічнай абароне інфармацыі – дадзеная мера была ўстаноўлена больш за 12 гадоў таму адпаведным Указам.
Нерэалізацыя гэтай меры спрыяе паспяховым нападам на неабароненыя рэсурсы, у тым ліку з неабноўленым ПЗ, што і прыводзіць да ўцечкі інфармацыі, у тым ліку асабістых даных.
Нярэдка ўзлом ажыццяўляецца не праз самога аператара, а праз аўтсорсінгавую арганізацыю – упаўнаважаную асобу.
У гэтым выпадку арганізацыя, давяраючы той ці іншы працэс такой асобе, дае ёй доступ да сваіх інфармацыйных рэсурсаў і сістэм. І калі партнёр не рэалізаваў меры па абароне інфармацыі, то ўзлом ажыццяўляецца праз яго.
Як паказвае практыка апошніх інцыдэнтаў, упаўнаважаная асоба часта знаходзіцца на тэрыторыі замежных дзяржаў. Таму трэба выконваць патрабаванні Указа «Аб мерах па ўдасканаленні выкарыстання нацыянальнага сегмента сеткі Інтэрнет». У ім замацавана, што аказанне паслуг, выкананне работ на тэрыторыі Беларусі павінна ажыццяўляцца з прымяненнем інфармацыйных рэсурсаў і сістэм, зарэгістраваных у нашым нацыянальным сегменце.
– У чым асаблівасці праверак Цэнтра для бізнесу?
– Кантрольныя мерапрыемствы мы заўсёды праводзім кропкава і імкнемся бізнесу дапамагаць. Асноўная мэта – не пакараць вінаватых, а спрыяць выбудаваць справу так, каб у працы кампаніі з асабістай інфармацыяй быў парадак.
Па выніках праверак мы складаем акты і прадпісанні, аб’ём якіх можа быць дастаткова вялікім і даходзіць да некалькіх дзясяткаў лістоў. Гэта не столькі пералік парушэнняў, колькі падрабязная апісальная частка: што канкрэтна трэба зрабіць для іх устаранення, дзе ўзяць неабходную інфармацыю, формы дакументаў і г.д.
За мяжой розная практыка ў гэтым пытанні. Некаторыя з нашых калег па выніках праверкі даюць ліст, у якім указаны парушаныя нормы, а насупраць іх прастаўляюцца галачкі. Але ў чым канкрэтна парушэнне, арганізацыі даводзіцца разбірацца самастойна.
Мы ідзем некалькі іншым шляхам і, працуючы на папярэджанне, выразна паказваем, чаму парушэнне мае месца і што трэба зрабіць для яго ўхілення і недапушчэння ў будучыні.
– Ці можа арганізацыя пасля праверак абскардзіць рашэнні Цэнтра ў судзе? Як часта такое адбываецца?
– Рашэнняў, якія адбыліся, па дадзеным пытанні роўным лікам адно. Па выніках адной з праверак арганізацыя не пагадзілася з шэрагам патрабаванняў, вынесеных Цэнтрам. Але суд патрабаванні Цэнтра прызнаў абгрунтаванымі, і дзейнасць арганізацыі была прыведзена ў адпаведнасць з нормамі закону. Так што абскарджанні не маюць масавага характару.
Мы працуем аб’ектыўна, імкнемся быць пераканаўчымі і ўзаемадзейнічаем з арганізацыямі ад моманту праверкі да ўстаранення парушэння.
– Чым яшчэ Цэнтр можа дапамагчы бізнесу?
– Імкнемся рабіць усё, каб умовы рэалізацыі заканадаўства аб персанальных даных былі выразнымі. Тлумачальная праца працягваецца, але сёння мае крыху іншы характар, чым у пачатку. Цэнтр перайшоў ад тлумачэння норм права да прадастаўлення адаптаваных пакетаў рашэнняў да асобных напрамкаў дзейнасці. У іх уваходзяць тыпавыя дакументы, узоры, рэкамендацыі, неабходныя для апрацоўкі персанальных даных, апісанне алгарытмаў дзеянняў і г.д.
Ужо завершана такая работа для арганізацый дзвюх сфер – адукацыі і аховы здароўя. Акрамя таго, што гэтыя сферы з’яўляюцца сацыяльна значнымі, у іх апрацоўваюцца вельмі значныя масівы інфармацыі, якія датычацца, па сутнасці, кожнага грамадзяніна. Пры гэтым у школе ці паліклініцы не заўсёды можна знайсці юрыста, які мог бы адначасова вырашаць пытанні прававой арганізацыі навучальнага ці лячэбнага працэсу і працаваць з персанальнымі данымі.
Цяпер такім арганізацыям не трэба самім распрацоўваць дакументы, якія патрабуюцца, з нуля – дастаткова ўзяць тыпавыя рашэнні і, пры неабходнасці, унесці ў іх невялікія карэкціроўкі, якія ўлічваюць спецыфіку дзейнасці.
Па рэзультатах аналізу парушэнняў заканадаўства аб персанальных даных, якія выяўляюцца Цэнтрам па выніках кантрольнай дзейнасці, падрыхтаваны чэк-ліст для ўсіх арганізацый, незалежна ад іх памеру, сферы дзейнасці і г.д. Ён дазволіць любому суб’екту гаспадарання вывучыць памылкі, якія ўзнікалі ў іншых кампаній, і належным чынам арганізаваць сваю працу.
Зусім нядаўна завершана работа над стварэннем тлумачэнняў для малога і сярэдняга бізнесу, падрыхтаваны чэк-ліст па арганізацыі іх дзейнасці
ў рамках заканадаўства аб персанальных даных. Прадстаўнікам такога бізнесу складана валодаць глыбокімі ведамі ў гэтай сферы, таму аб’ектыўна неабходна дапамагчы ім працаваць, выконваючы заканадаўства. Падрыхтаваны таксама пакет гатовых форм і дакументаў (так званы «Партфель аператара»).
– Ці хапае ў Беларусі спецыялістаў у сферы абароны персанальных даных?
– Крыху больш за 3 гады таму на базе Цэнтра стартавалі курсы павышэння кваліфікацыі па пытаннях абароны персанальных даных. Да гэтага ў Беларусі такіх праграм не было. За гэты час навучальныя мерапрыемствы прайшлі больш як 12 тыс. чалавек, а ў розных асветніцкіх праектах прынялі ўдзел больш як 35 тыс. чалавек.
Гэта вельмі важна, таму што веды – гэта ключ да абароны сваёй канфідэнцыйнасці ў лічбавым свеце.
Акрамя таго, сёння ў Інстытуце інфармацыйных тэхналогій БДУІР па ініцыятыве Цэнтра паспяхова праводзіцца перападрыхтоўка на базе вышэйшай адукацыі, і за 1,5–2 гады рэальна стаць прафесійна падрыхтаваным спецыялістам па абароне даных.
Дарэчы, ужо сфарміравалася прафесійная супольнасць спецыялістаў у сферы абароны персанальных даных. Працуючы ў сваіх арганізацыях, вывучаючы ўсе актуальныя напрамкі дзеянняў з персанальнымі данымі, яны камунікуюць паміж сабой і абменьваюцца досведам.
У Цэнтры перыядычна праводзяцца мерапрыемствы для такіх спецыялістаў, якія даюць магчымасць ім развіваць свае прафесійныя навыкі, кампетэнцыі, абменьвацца вопытам.
Цяпер на завяршальным этапе знаходзіцца выпрацоўка рашэння па стварэнні прафесійнай пляцоўкі для зносін спецыялістаў у сферы абароны персанальных даных, адказных за ўнутраны кантроль у арганізацыях, на базе якой яны змогуць узаемадзейнічаць па прафесійным інтарэсе. Да гэтага пулу спецыялістаў змогуць далучыцца ўсе жадаючыя, у тым ліку грамадзяне, якіх цікавіць гэтая тэматыка. Чакаем, што такая пляцоўка будзе створана ўжо сёлета.
Крыніца: ibMedia
'