Как правильно бороться с инсайдерами мнение участников форума DLP+
Информационная безопасность Информационная безопасность

Как государство мотивирует бизнес защищать информацию клиентов? Кто должен нести ответственность за утечки? Что общего у производителей топоров и DLP-систем?

Главная>Информационная безопасность>Кто виноват и что делать: о чем спорили участники форума DLP+
Информационная безопасность Тренд

Кто виноват и что делать: о чем спорили участники форума DLP+

Дата публикации:
07.06.2022
Посетителей:
248
Просмотров:
267
Время просмотра:
2.3

 

Как государство мотивирует бизнес защищать информацию клиентов?


Кто должен нести ответственность за утечки?


Что общего у производителей топоров и DLP-систем?

 

 

1 июня в Москве прошел традиционный ИБ-форум DLP+. Поводом для одного из самых горячих обсуждений на мероприятии стал новый законопроект, ужесточающий ответственность бизнеса за утечки персональных данных клиентов. Он предполагает введение оборотного штрафа в 1% и увеличение его до 3%, если компания попытается скрыть инцидент. На эту тему активно спорили участники ключевой сессии «Текущие технологии, новейшие угрозы. Как правильно бороться с инсайдерами». JETINFO рассказывает о плюсах нового закона и подводных камнях, с которыми может столкнуться бизнес.

 

Мотивация для бизнеса

 

«Раньше утечки были исключительно делом компании и клиентов, чьи данные были украдены. Теперь ситуация изменилась: любой инцидент подхватывается СМИ и может использоваться как средство дискредитации бизнеса. При этом для конкретной компании ущерб от реализации риска все еще может быть меньше стоимости его нивелирования. Поэтому регулирование в этой сфере необходимо», — начала сессию Галина Рябова, директор центра продуктов Solar Dozor, «Ростелеком-Солар».


Эксперта поддержал Артём Шейкин, член Комитета Совета Федерации по конституционному законодательству и государственному строительству. Артем отметил, что текущие штрафы (до 100 000 руб.) для крупных компаний ничтожны, поэтому только новые законодательные меры могут мотивировать бизнес заботиться о данных клиентов.


Далеко не все участники сессии согласились с этой позицией. Виталий Терентьев, CSO и GR-директор HeadHunter, озвучил диаметрально противоположное мнение. «Я не верю, что штрафы сделают бизнес ответственнее. Компании, работающие с персональными данными, и так теряют огромные деньги в случае утечек, ведь они теряют лояльность клиентов. Бизнес уже вкладывается в средства ИБ-защиты, но никто не отменяет риски, связанные с человеческим фактором. Большинство утечек — это люди, а не техника. В основе массы инцидентов лежит социальная инженерия: никто не может гарантировать, что один из сотрудников не станет жертвой фишинга. Введение дополнительных штрафов не сильно повысит безопасность данных, зато бизнес начнет применять драконовские меры в отношении людей», — прокомментировал спикер.


Виталий также отметил, что вопрос о защите персональных данных нельзя обсуждать только в разрезе коммерческих компаний. Госсектор тоже страдает от утечек — в сети можно найти даже базы данных уголовных дел. Но если предполагаемая ответственность коммерческой организации — это 3% оборота плюс внутренние меры в отношении виновника инцидента, то государственной — только увольнение ответственного лица.

 

«Ответственность государственного и коммерческого секторов должна быть соизмерима. Я согласен, что ее нужно увеличивать (в каком-то смысле это даже поможет безопасникам выбивать необходимые ресурсы). Но категорически не согласен с инструментом, который планирует использовать государство», — подчеркнул представитель HeadHunter.


Идею Виталия развил Игорь Каландадзе, руководитель направления защиты информации и ПДИТР госкорпорации «Ростех». По мнению спикера, для небольших бизнесов, которым и так тяжело в условиях ограничений, оборотные штрафы в 1% могут стать критичными. Кроме того, новые меры открывают возможности для коррупции. «Мне кажется, нужно сконцентрироваться на персональной ответственности человека, допустившего утечку, будь то злоумышленник или сотрудник компании. Когда ответственность несет бизнес в целом, она размывается», — добавил Игорь.


Экспертам оппонировал Евгений Хасин, заместитель директора Департамента обеспечения кибербезопасности, Минцифры России. По его словам, новые меры помогут подсветить риски утечек. Персональная ответственность для сотрудников и злоумышленников есть и сейчас, репутационные издержки тоже, но это не всегда мотивирует бизнес выделять ресурсы для обеспечения ИБ. Теперь ситуация изменится.


«Большие компании уже вкладываются в ИБ. Всегда ли это помогает? К сожалению, нет, но зачастую помогает, и это важно. Наша задача — организовать вокруг этого тренда набор регуляторных мер. Крупный бизнес будет понимать, что утечка приведет к серьезным финансовым потерям. А маленьким компаниям, которые пока находятся на старте, эти меры укажут: вы развиваете ИТ-инфраструктуру, не забудьте, пожалуйста, позаботиться о ИБ», — рассказал Евгений.


Василий Лесной, исполнительный директор-начальник отдела Центр киберзащиты, ПАО Сбербанк заметил, что внедрение DLP-системы еще не гарантирует безопасности данных клиентов. Не меньшее внимание нужно уделять повышению киберграмотности сотрудников.


«Несмотря на всю эшелонированную защиту, которую мы выстроили за последние годы, я как эксперт могу придумать еще пару способов, как забрать данные наших клиентов. Что с этим делать? Повышать киберграмотность сотрудников. Мы провели пилот: разложили по ресурсам, с которыми постоянно работают бизнес-пользователи, синтетически подготовленные “ценные данные”. Нам хотелось узнать, попробует ли кто-то из сотрудников их использовать, и если да, то как именно. На тот момент в банке уже был достаточно высокий уровень ИБ-грамотности, поэтому часть пользователей просто удаляла эти данные, кто-то сразу обращался к руководителю, а некоторые писали в ИБ-службу и просили разобраться, почему информация лежит там, где ее быть не должно. Поэтому киберграмотность предельно важна в контексте предотвращения утечек», — отметил Василий.

 

Разделение ответственности


Не менее активно участники сессии обсуждали вопрос ответственности за утечки данных. Если компания приобрела решение, «дыры» в котором привели к инциденту, кто должен платить штраф — покупатель или поставщик ИБ-продукта? Может ли в этом случае бизнес доказать свою невиновность в суде?


«Если компания разрабатывает неэффективное ПО, скорее всего, скоро у нее не останется клиентов. Поэтому все мы стараемся создавать качественные продукты. Это неформальная ответственность, которую мы, само собой, принимаем. А вот юридическую ответственность нужно четко разделять. Приведу простой пример. Производитель топора не должен нести ответственность за то, как им воспользуется покупатель. Он должен донести до человека информацию: топор острый, он может быть опасен. Что и как будут им рубить — зона ответственности покупателя. Так и умение пользоваться ИБ-продуктом — зона ответственности клиента. Естественно, мы как вендор предлагаем разные пакеты услуг, в том числе включающие консалтинг и обучение специалистов. Мы объясняем заказчикам, почему это не менее важно, чем покупка самого продукта. Но насильно, как говорится, мил не будешь», — рассказал Алексей Раевский, генеральный директор Zecurion.


Виталий Терентьев, CSO и GR-директор HeadHunter, добавил: вопрос разделения ответственности за утечки необходимо четко проработать в том числе потому, что новые меры могут использоваться для ведения нечестной конкурентной борьбы. «В сложных условиях люди идут на странные решения. Предполагаю, что компании могут нанимать “интересных ребят”, которые будут специально организовывать массовые утечки у конкурентов. Проще говоря, оборотные штрафы будут использоваться как инструмент давления. Если кто-то захочет любыми способами завалить конкурента, такой кейс вполне возможен», — отметил эксперт.

Уведомления об обновлении тем – в вашей почте

«Самое страшное уже позади, а самое сложное — впереди»: угрозы 2022 глазами Jet CSIRT

Динамика роста ИБ-инцидентов за последние месяцы? Кто стоит за этими киберпреступлениями? Что делать, чтобы подготовиться к актуальным угрозам?

«Карл у Клары украл кораллы»: Road Show SearchInform 2022

ИБ-тренды 2022. Кейс: как поймать инсайдера, который сливает информацию конкурентам?

Как реагировать на нарушения информационной безопасности

Цель настоящего документа – сформулировать ожидания Интернет-сообщества по отношению к группам реагирования на нарушения информационной безопасности (Computer Security Incident Response Teams, CSIRTs). Нет возможности определить набор ...

Новые Руководящие документы Гостехкомиссии России

Настоящий руководящий документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований.   ...

«Информационная безопасность банков»: что прогнозируют российские ИБ-специалисты

Появились ли за последние два месяца новые ИБ-угрозы? Из-за чего происходит «окирпичивание» оборудования? Почему текущие проблемы — это только начало?

Информационная безопасность - обзор основных положений. Часть 1

Важность проблемы информационной безопасности сейчас очевидна не для всех. Однако очевидна ее (проблемы) сложность, проистекающая как из сложности и разнородности современных информационных систем, так и из необходимости комплексного подхода к ...

Активный аудит

Все связи на этой земле распались. И имена потеряли смысл. Остался лишь мир, полный угрозы, мир, лишенный имени и потому таивший в себе безымянные опасности, которые подстерегали тебя на каждом шагу. Опасности эти не обрушивались на человека ...

«Мы пережили ИТ-вивисекцию»: о чем говорили на CISO FORUM

На какие риски ИБ нужно обратить внимание прямо сейчас? О чем стоит подумать перед разработкой собственного ИТ-продукта? Удовлетворяют ли российские ИБ-решения мировым стандартам?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня