У персональных данных особая защита

О проблемах, связанных с защитой персональных данных, а также о перспективах рынка информационной безопасности в интервью BFM.ru рассказал управляющий продажами в ритейле российского представительства компании G Data Software AG Роман Карась

Управляющий продажами в ритейле российского представительства компании G Data Software AG Роман Карась рассказал в интервью BFM.ru о проблеме персональных данных и о перспективах рынка информационной безопасности.

— Какие тенденции проявились в уходящем году на рынке информационной безопасности?

— Этот рынок очень конкурентный — на нем действует большое количество вендоров, причем разработчики часто предлагают достаточно сходные решения. На мой взгляд, одна из самых интересных и важных тенденций рынка ИБ заключается в наблюдаемом сегодня стремлении к отходу от защиты одного конкретного компьютера. Теперь рабочее место стараются рассматривать как ячейку в Интернете. Сюда же отдельным компонентом может входить и промышленная сеть. Эти сети и следует адекватно защищать от имеющихся угроз, в том числе и от достаточно мощных, которые появлялись в последнее время. Эта тенденция находит свое отражение в продуктах компаний, которые становятся более комплексными. В результате, основную продуктовую нишу занимают уже не антивирусы или файерволы как отдельные самостоятельные продукты, а комплексные решения — «комбайны», suit, с помощью которых разработчики стараются полностью защитить «ячейки» от всевозможных угроз, включая утечки информации и инсайдеров.

Та же концепция «ячейки» упирается, в свою очередь, в облачные вычисления, которые в последнее время стали очень популярными. Причем если прежде эти «распиленные» и распараллеленные вычисления использовались преимущественно для проведения научных исследований, то сегодня они начали распространяться и на корпоративный сегмент. При этом все вендоры стараются реализовать в своих решениях те или иные функциональные возможности, связанные с распределенными вычислениями.

G Data, например, задействует эти технологии для увеличения скорости загрузки файлов как при обновлении самих программ, так и при загрузке обновлений сигнатур антивирусных баз данных. Также они задействуются для сбора информации при вирусных атаках и эпидемиях.

Роман Карась.

— Можно ли говорить о каких-то особенностях российского рынка?

— Рынок надо рассматривать в комплексе — программное обеспечение без «железа» нежизнеспособно. Поэтому, говоря о российском рынке, можно вспомнить проблемы именно с поставкой оборудования, которые возникли летом текущего года в связи с Таможенным союзом России, Казахстана и Белоруссии. Тогда таможенные органы предъявили новые требования к поставке оборудования с криптографической защитой информации, и все встало. Это повлияло на работу интеграторов, на объемы закупок программного обеспечения, которое устанавливалось на такое оборудование. Ситуация была достаточно сложная.

В то же время была интересна ситуация с компанией Intel, которая смогла убедить таможенные органы, что ей можно завозить соответствующую технику. Это неоднозначно было воспринято другими вендорами, которые такого разрешения получить не смогли. Кстати, вопросы поставок до сих пор актуальны. Такие замедления сказываются на темпах развития. А ведь в банках сейчас идет, можно сказать, перевооружение систем защиты информации. В финансовых организациях поняли, что работа с физическими лицами лучше строится с использованием систем дистанционного обслуживания, интернет-банкинга. А создание таких систем требует использования средств криптографической защиты информации. Вот и получилось, что когда банки массово начали переходить на использование соответствующих решений, им обрезали поставку оборудования.

В добавление ко всему не всегда понятна позиция регулятора. Так, недавно принято решение о переносе еще на один год срока вступления в силу всех положений Федерального закона «О персональных данных». То есть получается, что положения закона еще не действуют, но в то же время при госприемке объектов информатизации в госорганах, госпредприятиях или в коммерческих структурах, в которых имеется доля государства, регулятор требует наличия «персональных» сертификатов и т.п. При этом вендоры ставятся в неравное положение.

— Перенос сроков вступления в силу положений закона создает на рынке дополнительные проблемы?

— Сам закон направлен на соответствие требованиям. Наши системы должны на бумаге соответствовать требованиям этого закона. Если мы возьмем существующие на Западе проблемы с утечками данных, то там к увещеванию нарушителей подходят намного серьезней. Так, например, в одной южноафриканской страховой компании произошла крупная утечка персональных данных. Регулятор — Минфин Великобритании — тут же выписал провинившемуся страховщику очень большой штраф. Потом сумма была несколько уменьшена, но только потому, что страховая компания немедленно согласилась его выплатить. У нас же штрафы и другие наказания за несоблюдение требований законодательства о персональных данных носят символический характер. В качестве примера можно привести случай в «Дальсвязи», когда на незащищенный ftp-сервер были выложены данные абонентов этого оператора. Сделавший это администратор никакого наказания не понес. По крайней мере, об этом не сообщалось.

Я не говорю об ужесточении наказаний по примеру западных стран. Но, наверное, нужны другие механизмы, которые будут направлены на реальное предотвращение утечек персональных данных, а не на получение соответствующей отчетности на бумаге — красивой, хорошей, но не обеспеченной реальными результатами.

— Нужна ли серьезная защита персональных данных, если их легко получить из, скажем, социальных сетей?

— По имеющимся данным, в последнее время как раз возросли случайные утечки данных, связанные с потерями оборудования, взломом баз данных и т.п. От этого необходимо защищаться. А вообще существует такое понятие как «человеческий фактор», который часто сказывается в таких инцидентах. Здесь, кстати, следует учитывать характер самой информации, которая может «утечь». Одно дело, когда «убегает» достаточно распространенная информация, которую можно найти и в открытых источниках — адреса, телефонные номера и т.п. А совсем другое дело, например, банковская информация — реквизиты, коды, пароли. Здесь ущерб может быть намного весомее. Особенно, если такая утечка произошла не случайно, а в соответствии с замыслами киберпреступников — то есть была получена, например, с помощью шпионских программ, методов социальной инженерии (письма-эмуляторы и т.п.).

— Утечки и кража информации формируют черный рынок данных. Что сегодня про него известно?

— Черный рынок данных существовал, наверное, с момента появления этих самых данных. Начиная с устных преданий и заканчивая современными цифровыми носителями. Здесь еще вопрос, что рассматривать под черным рынком и информацией. То ли это какие-то массивы данных госструктур, то ли это данные, содержащие коммерческую тайну, то ли это данные какого-то промышленного шпионажа или персональные данные. Такая информация может быть представлена к продаже в любом виде — начиная от медицинских данных человека и заканчивая данными о таможенной активности юридического лица, которая позволяет выявить и партнерские отношения, и объемы поставок или закупок и т.п.

Есть люди, которые постоянно работают на этом черном рынке информации, а есть разовые продавцы или покупатели. И как показывает практика, этот рынок существует в международном масштабе. В том числе в нашей стране. Другое дело, что в последние годы он стал более законспирированным. Все-таки во многих странах были введены нормы уголовной ответственности за фривольное обращение с конфиденциальной информацией, за целенаправленную утечку данных, включая персональные.

Но если есть спрос на закрытую информацию, то, соответственно, будет и предложение. Наши силовые структуры прилагали большие усилия в борьбе с этими утечками. Определенные результаты есть. Сегодня уже не так просто не только получить закрытую информацию, но и продать ее или купить. Ситуация стала лучше. Кстати, большое участие в борьбе с этими утечками данных приняли корпоративные службы безопасности.