Top.Mail.Ru
Колонки

«Пока гром не грянет – мужик не перекрестится». Помогут ли штрафы остановить волну утечек данных в России?

Колонки
Алексей Коробченко
Алексей Коробченко

Начальник отдела по информационной безопасности компании «Код Безопасности»

Александр Сенников

В конце ноября президент РФ подписал  законы, которые ужесточают ответственность юридических лиц за утечки персональных данных. Наказанием за утечки могут стать административные штрафы до 20 млн руб. или 3% годового оборота компании. За некоторые виды нарушений, которые привели к утечке данных, может грозить и уголовная ответственность – до 10 лет лишения свободы. 

Россия в 2024 году стала мировым лидером по количеству утекших в даркнет баз данных, поэтому бизнес опасается оборотных штрафов за утечки и неоднократно выступал против этой законодательной инициативы. О том, помогут ли новые законы остановить волну утечек данных, RB.ru рассказал начальник ИБ-отдела компании «Код Безопасности» Алексей Коробченко.

«Пока гром не грянет – мужик не перекрестится». Помогут ли штрафы остановить волну утечек данных в России?
  1. Колонки

 

Регулирование безопасности

В последние пару лет количество и «качество» хакерских атак на российские организации стало беспрецедентным, поэтому вопрос обеспечения кибербезопасности для них – один из самых актуальных. При этом нельзя сказать, что данная проблема затрагивает только Россию.

 

Агрессивность киберсреды вышла на новый уровень во всех странах без исключения. 

 

Интернет и корпоративные сети превратились в еще одно поле боя, где особую роль играют так называемые хактивисты – политически мотивированные акторы, которые хотят нанести максимальный урон той или иной стране. Причем довольно часто ими движет не желание заработать, а исключительно «гражданские» чувства. 

Все это привело к тому, что и государствам в лице регуляторов, и бизнесу самого разного профиля пришлось кардинально пересмотреть свои взгляды на кибербезопасность. Раньше большинство компаний, особенно если они не относились к когорте КИИ (объектам критической информационной инфраструктуры), вкладывались в средства защиты информации лишь номинально, можно даже сказать косметически. 

Причин тому несколько. Во-первых, никто не мог предположить того уровня и интенсивности кибератак, которые возникли в 2022 году. Во-вторых, это было банально невыгодно. Штрафы регулятора за утечки имели небольшой объем, и бизнесу представлялось гораздо более выгодным заплатить эти «крохи» за прорыв ИТ-инфраструктуры, чем вкладывать гораздо более солидные суммы в построение адекватной системы безопасности. 

Играть с таким огнем не решались только самые зрелые компании, в особенности те, за которыми регуляторы следят наиболее пристально. 

За последние три года наметилась другая тенденция: не только государство стало более пристально заниматься организациями, которые работают с ПДн (персональными данными) и другой критической информацией, но и сам бизнес осознал, что хакерские атаки могут нанести серьезный вред. Многие компании стали выделять ИБ в отдельную статью инвестиций и всерьез озаботились реализацией систем защиты

Но, как правильно говорят в России, пока гром не грянет – мужик не перекрестится, и все еще немалое количество компаний, в том числе оперирующих ПДн, смотрят на кибербезопасность сквозь пальцы, надеясь, что их не «зацепит». 

В том числе для них государство и ужесточает ИБ-законодательство – как и во многих других странах, только подобный кнут способен заставить организации заняться информационной защитой всерьез.

 

Штрафы подстегнут внимание к кибербезопасности

Поправки в законодательство, недавно подписанные президентом, предусматривают увеличение штрафов для компаний до 3% от их годового оборота. Здесь стоит отметить, что речь идет о штрафах именно за повторные допущения утечек, в то время как первичная «незаконная передача ПДн» обойдется в 3-5 миллионов рублей. 

3% – это весьма солидная сумма, и для некоторых компаний может стать достаточно болезненной. Дело в том, что эти 3% компания вполне может бюджетировать на развитие своей информационной безопасности: приобретать средства защиты, расширять штат ИБ-сотрудников, вкладывать в программы обучения персонала основам кибергигиены. 

Получив штраф, организация вряд ли будет закладывать на это отдельную статью расходов – она просто покроет его за счет бюджета на ИБ.

 

Таким образом, получается замкнутый круг: выделенные на ИБ средства идут на штрафы – система безопасности остается на прежнем уровне – происходят новые утечки – компания вновь получает штраф и опять же покрывает его за счет ИБ-бюджета. 

 

Значит ли это, что штрафы не нужны или что их введение гарантирует новые утечки? Конечно, нет. Штрафы, как мы уже отмечали, особенно если они такие серьезные, а не «игрушечные», хорошо стимулируют к повышению ИБ-зрелости. 

«Жесткость» регулятора и, как следствие, необходимость заниматься информационной защитой непременно ведут к тому, что успешных кибератак и утечек будет меньше. Однако они все равно будут, потому что кибербезопасность – это комплекс мер, как технических, так и организационных. И если на техническую часть вполне можно положиться, то на организационную, где большую роль играет человек, не всегда.

 

Человек – слабое звено

По разным данным, процент успешных атак через программное обеспечение или оборудование составляет менее 5%, и чаще всего хакеры добираются до каких-либо данных с помощью социальной инженерии. 

Человек был, есть и будет самым слабым звеном любой системы безопасности. Это относится не только к бизнесу, но и к простым пользователям, которые с завидным упорством игнорируют правила кибергигиены, применяя легкие пароли, пренебрегая двухфакторной аутентификацией, сообщая всем и каждому одноразовые коды, открывая ссылки от незнакомых абонентов, регистрируясь на сомнительных сервисах. Последнее представляется особой проблемой. 

Сейчас в Интернете в открытом доступе, по грубым подсчетам, находятся различные данные примерно 90% взрослого населения России, и большинство этих данных попали в Сеть не из баз крупных компаний, а утекли из ИТ-инфраструктур небольших организаций. 

Многие пользователи считают, что такие сервисы не представляют интереса для хакеров, поэтому не заморачиваются со своей безопасностью, повторяя уже перечисленные выше ошибки кибергигиены. Но именно данные из таких сервисов и формируют основную базу утечек, которые позже оказываются в открытом доступе и становятся основой, например, для разномастных Telegram-ботов, которые могут предоставить информацию о человеке лишь по номеру телефона. 

 

К сожалению, борьба с ботами и прочими подобными сервисами скорее всего будет напоминать сражение Дон Кихота с ветряными мельницами, поскольку после блокировок у этой гидры всегда появляются новые «головы»-клоны. 

 

Человеческий фактор также представляет серьезную проблему и для корпоративного сектора. Причем жертвой и, одновременно, «точкой входа» в ИТ-инфраструктуру компании может стать даже высокопоставленный сотрудник, что сразу дает хакерам возможность ударить в самое «сердце» корпоративной сети. 

Однако с этим тоже можно бороться, и внедрение новых оборотных штрафов в сочетании с теми требованиями, которые предъявляют к компаниям ФСТЭК и ФСБ, способны поднять уровень защищенности ИТ-инфраструктур на новый уровень.

 

Разделяй и процветай

В попытках построить внятную систему кибербезопасности компании нередко совершают одну и ту же ошибку: открывают требования регуляторов, затем находят условный рейтинг защитных решений соответствующего класса и внедряют их в свою инфраструктуру. Все ради того, чтобы отчитаться перед государством о выполнении ИБ-нормативов. Однако такой подход ведет лишь к большим проблемам. 

Зрелые компании начинают построение системы безопасности с аудита. Они описывают собственные бизнес-процессы и сервисы, определяют второстепенные точки и наиболее критичные, которые влияют на прибыль и необходимы для выполнения законодательных требований, и только потом выходят на рынок защитных решений. 

Выбрав двух-трех вендоров, компании проводят пилотные проекты, после чего определяются с производителем продуктов безопасности и начинают «боевую» интеграцию. 

Благодаря этому, бизнес может не только обезопасить инфраструктуру, но и сэкономить, поскольку не приходится защищать весь ИТ-ландшафт – только те узлы, которые приводят либо к крупным потерям, либо к нарушению законодательства в части тех же утечек информации.

В процессе построения надежной системы кибербезопасности стоит выделить особую роль импортозамещения. И дело не только в том, что отечественные вендоры существенно нарастили компетенции, но и в том, что зарубежные продукты действительно представляют опасность. 

Свернув бизнес в России, многие западные вендоры перестали оказывать техническую поддержку и лишили работающие в стране решения обновлений. А в решении без обновлений и техподдержки неизбежно возникают уязвимости, которыми пользуются хакеры.

 

Поэтому использование российских продуктов – это гарантия того, что внутри не будет зашито вредоносного ПО, а все возникающие уязвимости вендор оперативно закроет патчами и новыми версиями. 

 

Помимо технических средств, усилить свою защиту бизнес может с помощью организационных мер, в первую очередь – тренингами персонала, киберучениями, выстроенной системой сегментации доступа. Последнее особенно важно, поскольку позволяет минимизировать риски человеческого фактора.

Как это работает: внутренняя сеть делится на множество сегментов с разным уровнем доступа, например, рядовые сотрудники могут войти только в корпоративную сеть, не связанную с внутренними базами данных. Кроме того, можно разграничивать внешнюю сеть, то есть Интернет, и внутреннюю. 

В этом плане многие компании поступают радикально: запрещают выход в Интернет с корпоративных ресурсов, избегая малейшей вероятности занести во внутреннюю сеть вредоносное ПО. Впрочем, конфигураций построений киберзащиты может быть много, главный принцип – максимально ограничить доступ случайных людей к критическим данным. 

 

Стоит отметить, что все более важную роль начинают играть технологии искусственного интеллекта, и в ближайшие годы нейросети и машинное обучение станут мощным подспорьем в борьбе с киберпреступниками. 

 

Уже сейчас многие ИБ-вендоры, в том числе мы, внедряют в свои решения ИИ-технологии, которые умеют анализировать поведение того или иного корпоративного пользователя и вычислять проникнувшего хакера. Также эти технологии способны оперативно обнаруживать “вредоносы” и блокировать зараженный сегмент сети, отрезая его от остальной ИТ-инфраструктуры – это похоже на защитные переборки на кораблях, которые изолируют затопленный отсек. 


Итог

Проблемы с кибербезопасностью нельзя решить в одночасье, и вряд ли возможно полностью избежать возникновения инцидентов: слишком высок уровень агрессивности киберсреды, слишком много акторов и все еще слишком высока роль человека в системе безопасности. 

Однако работа самих компаний в сфере ИБ и новые законодательные нормы регуляторов, в том числе повышение оборотных штрафов, неизбежно приведут к повышению уровню защищенности ИТ-инфраструктур. 

При этом свою часть «работы» необходимо сделать и каждому пользователю – не только в корпоративном секторе, но и «обывателю», который должен относиться серьезно к своим данным и обеспечивать пассивную безопасность: 

  • применение сложных паролей от 13 знаков с буквами, цифрами и спецсимволами;
  • использование двухфакторной аутентификации; 
  • установка специализированных средств защиты, например, антивируса; 
  • постоянная подозрительность и четкое следование правилу «никому не сообщать свои данные». 

Ответственное отношение к кибербезопасности на всех уровнях даст необходимый эффект в борьбе с хакерами и мошенниками.

Фото на обложке: We Are / Getty Images

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

EdTech: карта российского рынка
Все компании и инвесторы в области образовательных технологий
Перейти