Архив   Авторы  

Осторожно, цифра!
Hi-techБизнес

Станем ли мы полноправными гражданами электронного государства?

 

С 1 июля наконец-то в полную силу заработает закон «О персональных данных»: организации, которые по долгу службы работают с нашими именами, фамилиями, адресами, номерами мобильных телефонов и банковских карт и тому подобной сугубо личной информацией, уже не смогут в случае чего сослаться на технические неувязки — к началу июля все должны быть вооружены против любых утечек персональных данных (ПД) россиян. «Итоги» заинтересовались, до какой степени теперь можно доверять разнообразным компаниям и организациям, которые наперебой просят нас заполнить свои анкеты, чтобы вручить дисконтную карту или подключить к интернет-ресурсу?

В связи с этим интересен опыт «старших товарищей» по демократизации и гласности. Там законы «О защите частной жизни» (США) и «О защите данных» (Франция) вступили в силу еще в 1974 и 1978 годах соответственно. А в 1981 году появилась общеевропейская «Конвенция о защите прав физических лиц при автоматизированной обработке персональных данных», к которой сегодня присоединилось 35 стран. Несмотря на столь солидный возраст, проблемы с утечками ПД там окончательно не решены: в прессе то и дело появляются сообщения об очередном инциденте. То ли дело у нас: граждан, данные которых утекли, например, в соответствующий магазинчик на «Горбушке» или на хакерский интернет-ресурс, по закону тоже положено извещать об утечках, но, как говорят эксперты, таких прецедентов до сих пор не зафиксировано. К сожалению, дело не в том, что у нас такие неприятные истории не случаются вовсе, — просто законы другие. Поясняет Николай Федотов, главный аналитик InfoWatch: «В России оператор обязан уведомлять соответствующий госорган о самом факте обработки ПД, в США — только об инцидентах (утрате, разглашении). В России предусмотрена ответственность за нарушение порядка защиты ПД, но нет ответственности в случае их утечки. В США — наоборот».

Иными словами, в США механизм регулирования в сфере защиты ПД прост: если гражданину нанесен ущерб, он должен быть возмещен. А чтобы организации не увиливали от ответственности, все инциденты предаются гласности, причем за сокрытие такого факта грозит наказание вплоть до уголовного дела. По степени результативности такой подход сравним с очень эффективной борьбой с тунеядцами и дебоширами через советские парторганизации. Но для современной России — закрытой и непрозрачной — законодатели придумали свой ход. «Наш закон учитывает российский менталитет — пока гром не грянет, мужик не перекрестится — и закладывает дополнительно нормы, позволяющие применить репрессивные методы к тем, кто ничего не делает для защиты или делает это неправильно, даже если факта нарушения интересов субъекта ПД еще не произошло, — рассказывает Сергей Вихорев, заместитель генерального директора по развитию компании «ЭЛВИС-ПЛЮС». — Эти превентивные меры частично компенсируют отсутствие информирования о нарушениях». Посмотрим, как наша специфика может сказаться на практике.

Законы США напрямую связывают факт утечки с ущербом. Тогда, рассуждает Николай Федотов, убытки для западного оператора ПД пропорциональны числу скомпрометированных записей: чем крупнее предприятие, тем дороже соответствующие риски. А для российского оператора оценка убытков пойдет скорее по принципу семь бед — один ответ, то есть чем крупнее предприятие, тем меньше данный риск на фоне других. При этом соблазн сбыть на сторону конфиденциальные данные граждан со временем возрастает. По оценкам аналитиков InfoWatch, в 2006 году на одну утечку приходилось в среднем около 177 тысяч записей (собственно ПД), а в 2009-м — более 750 тысяч. При средней цене 3 доллара за одну кредитку получается, что на одной флэшке можно унести в кармане два с лишним миллиона долларов. (Неудивительно, что, по оценкам компании Symantec, на «карточные» мошенничества приходится около трети всех доходов на черном рынке киберпреступлений, который составляет в России 2 миллиарда долларов.) Каким же будет наказание?

Рассказывает Евгений Царев, заместитель директора департамента продуктов и услуг компании LETA: «Если в России со счета клиента через интернет-банк пропадают деньги, то банк почти никогда не несет финансовой ответственности, а в США практически всегда». То есть в США деньги крадут у банков, а в России — у клиентов.

Правда, о полном беспределе на этом рынке говорить не стоит. Там, рассказывают эксперты, действует саморегулирование: черный рынок занимает определенный процент от белого, например, кардеры «отъедают» не более полпроцента от прибыли по карточным платежам. С этой долей банкиры готовы мириться — они заранее закладывают в бюджеты соответствующие убытки, но и вырасти сверх выделенного процента ей не дают. «Ловить и сажать при таком уровне хищений экономически невыгодно, — комментирует Николай Федотов. — На расследование инцидента уйдет больше средств, чем в итоге сэкономят все затронутые стороны (банк, клиенты, государство). Поэтому ловят кардеров лишь показательно, в основном тех, кто зарвался». Иными словами, данные собственной кредитки по-прежнему не стоит доверять никому. А как быть, скажем, с паспортными данными? Их ведь тоже сегодня продают на черном рынке. Правда, за копейки.

Стоят они так недорого, отмечают специалисты, потому что самостоятельной ценности не имеют и используются в мошеннических схемах в качестве вспомогательной информации. «От 1/2 до 3/4 выручки от мошенничества с кредитами уходит на подкуп и поддельные документы, — поясняет Николай Федотов. — Ксерокопия чужого паспорта здесь играет примерно такую же роль, как темные очки в карьере разведчика: каждый может вообразить, что он уже почти Штирлиц, осталась сущая малость — пробраться в секретный бункер и выкрасть секретную папку». До сих пор в России не зарегистрировано ни одного случая, когда при помощи одной только копии паспорта преступник смог бы украсть деньги.

Такую позитивную роль неожиданно сыграло наследие прошлой эпохи — у нас до сих пор везде нужны бумаги. А вот в США, где гораздо сильнее развиты интернет-услуги, по оценкам компании LETA, 20 процентов всех видов мошенничества сегодня происходит с использованием чужих персональных данных. И нас это ждет: услуги в электронном виде стремительно приближаются, а вместе с ними — явление, называемое кражей личности. В США даже создан сайт, куда «физические оригиналы», пострадавшие от своих цифровых копий, могут обратиться за консультацией. Правда, массовым явлением кража личности пока не стала даже на развитом Западе: для этих целей нужно ПО, способное аккумулировать всевозможные данные, которые сами пользователи оставляют в Сети, а оно в виде коробочных продуктов на черных рынках пока не представлено. Но в течение нескольких лет эта задача точно будет решена, и тогда нас могут ожидать новые проблемы. Сам принцип превентивной защиты данных может дать сбой. «Средний пользователь iPhone устанавливает примерно десять приложений, а это как минимум десять разных компаний или физических лиц, которые получают доступ к большому объему ваших данных», — комментирует Евгений Царев. Данные недавних исследований подтверждают: доля внешних угроз безопасности данных постоянно растет, в то время как объем утечек через инсайдеров снижается.

К тому же, как говорит Тимур Аитов, вице-президент Ассоциации российских банков, наш закон требует избыточной безопасности, заставляя надежно хранить любые данные, связанные с конкретной личностью. Став частью цифровой личности, такие малозначительные сегодня для мошенников параметры, как сканы паспортов, номера водительских удостоверений и соцкарт и т. п., приобретут самостоятельную ценность. И на ПД россиян начнут охотиться всерьез, как сегодня в США на номер соцстрахования.

Похоже, что цифровые технологии действительно способны преобразить наш мир до неузнаваемости. Как шутят специалисты в сфере защиты ПД: «В связи с утечкой информации Число Зверя пришлось изменить...»

Как минимизировать риск утечки персональных данных в руки мошенников?

Нужно ликвидировать нынешние причины неэффективности защиты ПД: недостаточно ответственный подход к этому вопросу российских компаний, малая распространенность технических средств защиты и слабое понимание со стороны компаний, каким образом лучше защитить себя от подобных утечек. А это связано с отсутствием нормального единого стандарта или хотя бы единых подробных рекомендаций по обеспечению подобной защиты для предприятий из различных сфер деятельности.


Олег Головенко

тех­ни­чес­кий кон­суль­тант, Symantec

Компаниям — операторам ПД необходимо не строить лоскутную систему защиты, пытаясь охранять только то, что требует закон, а использовать комплексный подход к безопасности IТ-инфраструктуры и бизнес-процессов. Другими словами, надо следовать не только букве, но и духу закона, который направлен не на формальное выполнение набора требований, а на предотвращение возможных утечек, то есть реальную защищенность.


Юрий Черкас

ру­ко­во­ди­тель нап­рав­ле­ния за­щи­ты пер­со­наль­ных дан­ных, «Инфо­сис­те­мы Джет»

Думаю, в XXI веке это почти невозможно. Пример: телефон, который вы носите с собой, знает не только ваше местоположение, но и все связи и интересы. Некоторые провайдеры давно хранят SMS, MMS, голосовую почту и даже всю историю переговоров своих клиентов. И открывают рекламодателям доступ к этой информации. В одних странах это происходит в соответствии с законом, в других, как у нас, неофициально, но этим занимаются все.


Евгений Царев

за­мес­ти­тель ди­рек­то­ра де­пар­та­мен­та про­дук­тов и ус­луг, LETA

Среднее количество граждан, пострадавших от одной утечки данных банковских карт

Хакерские атаки 263 000

Инсайдерские утечки 68 000

Кража/потеря 67 500

Проблемы в политиках безопасности 30 572

Мошенничество 6353

Источник: Symantec, 2011

Точка зрения

Скрывать нельзя открывать

Бытует распространенное мнение, что для предотвращения мошенничества персональные данные следует засекречивать. На мой взгляд, это спорный тезис. Для совершения преступлений используется много разной информации. Было бы неразумно запрещать, ограничивать или засекречивать все, что используется, правда? Но столь же неразумно все разрешать, в том числе предметы (сведения), которые могут быть использованы только для преступных целей и больше ни для каких. Очевидно, разумное решение заключается в том, что ограничения следует налагать на такие предметы и сведения, которые для противоправных целей применяются много чаще, чем для законных, и могут быть эффективно ограничены в обороте. Скажем, оружие этим критериям удовлетворяет. А персональные данные?

Например, множество мошеннических схем построено на информации о кредитах граждан. Но такая информация может быть использована не только мошенниками, но и многими честными гражданами и организациями, например, для построения деловых и личных взаимоотношений. Право знать, что человек, с которым ты имеешь дело, не вернул кому-то долг, вполне вписывается в конституционное право на свободу информации. Информация ведь свободна не просто так, а ради полезных целей. Если бы (представим невозможное) нам удалось надежно закрыть персональные данные, как того требует 152-ФЗ, вероятно, не случились конкретные факты мошенничества с кредитами, которые имели место в действительности. А вот общее число преступлений вряд ли бы снизилось. Ведь недоступность одного способа мошенничества не приводит к тому, что профессиональный обманщик бросает преступный промысел и идет вкалывать на завод. Единственное, что склонило бы помянутого гражданина к праведной жизни, так это отправка его года на три шить рукавицы в Пермский край. А этому будет способствовать отнюдь не секретность данных, а своевременное выявление и учет преступлений.

Ставить на пути преступников столь мелкие препятствия, как конфиденциальность персональных данных, — это значит совсем не понимать логики и экономики криминального мира. Препятствия должны быть настолько серьезными, чтобы остановить противника или задержать его на время одного-двух прицельных «выстрелов» противостоящей стороны. С врагом надо воевать, а не щекотать его.


Николай Федотов

глав­ный ана­ли­тик InfoWatch

Добавить в:  Memori  |  BobrDobr  |  Mister Wong  |  MoeMesto  |  Del.Icio.Us  |  Google Bookmarks  |  News2.ru  |  NewsLand.ru

Политика и экономика

Что почем
Те, которые...

Общество и наука

Телеграф
Культурно выражаясь
Междометия
Спецпроект

Дело

Бизнес-климат
Загранштучки

Автомобили

Новости
Честно говоря

Искусство и культура

Спорт

Парадокс

Анекдоты читателей

Анекдоты читателей
Популярное в рубрике
Яндекс цитирования NOMOBILE.RU Семь Дней НТВ+ НТВ НТВ-Кино City-FM

Copyright © Журнал "Итоги"
Эл. почта: itogi@7days.ru

Редакция не имеет возможности вступать в переписку, а также рецензировать и возвращать не заказанные ею рукописи и иллюстрации. Редакция не несет ответственности за содержание рекламных материалов. При перепечатке материалов и использовании их в любой форме, в том числе и в электронных СМИ, а также в Интернете, ссылка на "Итоги" обязательна.

Согласно ФЗ от 29.12.2010 №436-ФЗ сайт ITOGI.RU относится к категории информационной продукции для детей, достигших возраста шестнадцати лет.

Партнер Рамблера