Виталий БАТУРИН: «Защита информации – это бесконечное противостояние щита и меча»
Беседовала Мария ШУПЕНИК
Звонки с заманчивыми предложениями взять кредит, поучаствовать в соцопросе или, например, выгодно приобрести косметику практически ежедневно поступают на телефоны камчатцев. И практически все хоть раз слышали в трубке угрюмый голос, представившийся «службой безопасности банка»… А в результате в карманы мошенников перетекают миллиарды рублей от законопослушных россиян.
Каждый задавался вопросом: откуда у этих людей и организаций появились наши телефонные номера, если персональные данные охраняются оператором в соответствии с федеральным законом?
О том, насколько этот самый закон способен защитить личные данные граждан и какое участие в этом принимают государственные органы, мы попытались разобраться вместе с заместителем министра цифрового развития Камчатского края Виталием БАТУРИНЫМ.
– Виталий Александрович, кто является участником процесса защиты персональных данных и какую роль в нем занимает министерство цифрового развития региона?
– Минцифры играет здесь координирующую роль. А именно если у органа власти либо конкретного чиновника, который обрабатывает данные или уполномочен обеспечивать их защиту, возникают вопросы, в первую очередь он идет к нам. Мы проводим консультации сами либо подключаем регулирующие органы – Федеральную службу по техническому и экспортному контролю, Роскомнадзор и Федеральную службу безопасности. Именно эти три органа контролируют данную деятельность. Кроме того, персональные и иные защищаемые данные аккумулируются на мощностях министерства цифрового развития. У нас находится центр обработки данных – специальное помещение с оборудованием и программными средствами, которые обрабатывают персональные данные всех жителей нашего региона.
– Почему это необходимо?
– Цифровизация сегодня проникла во все сферы жизни, начиная с самого рождения. Когда вы записываете новорожденного ребенка к педиатру, он заносит все сведения о нем и о вас в базу данных. Ребенок пошел в школу – и вся информация о нем заносится в электронный дневник. Обращаясь в МФЦ или в социальное ведомство, вы неизбежно делитесь своими личными данными. На протяжении всей жизни данные о каждом из нас собираются и аккумулируются в «цифре». С развитием этого процесса стали развиваться и прогрессировать цифровые мошенники. Утечка данных в руки таких людей – всякий раз для нас неприятные события. Хуже может быть только тогда, когда мошенники смогли взять кредиты или создать на украденные личные данные организацию и совершать неправомерные действия. В этом состоит опасность для человека, который передает свои данные коммерческой либо государственной структуре. Передав свои данные как минимум государственной организации, гражданин должен иметь полную уверенность, что такого не произойдет. Наша задача – направить в правильное русло чиновников, которые эти данные защищают. Хотя прямая задача не допустить утечки информации лежит на плечах самих госслужащих – из минздрава, из социального и образовательного ведомств. А мы должны максимально помочь им в этом.
– Как выстраивается эта работа?
– Все начинается, как ни скучно это звучит, с нормативного регулирования. Мы должны закрепить ответственность за каждым работником, чиновником для того, чтобы он четко осознавал: если он окажется слабым звеном, если из-за его неправомерных или даже просто ошибочных действий или бездействия данные попадут в руки мошенников, он будет нести ответственность по закону. Поэтому именно соблюдение нормативных требований является фундаментом успеха этой работы. А далее применяются технические и программные средства защиты информации. Они не дают злоумышленникам подобрать пароли или использовать более современные методы взлома баз данных либо позволяют выявить злоумышленников заблаговременно и передать их данные органам правопорядка или контролирующим органам. Кроме того, важны в этой работе средства мониторинга, которые позволяют заблаговременно выявить потенциальные места утечки. То есть, если мы видим, что в информационной сети идет избыточное подключение от неизвестного источника, мы обязаны своими силами отработать инцидент или сообщить об этом контролирующим органам, которые примут меры.
– Получается, мы можем быть уверены, что личные данные не утекут из госорганов. Но данными граждан не в меньшей степени владеют коммерческие организации.
– Закон обязывает коммерческие организации иметь полный набор средств для защиты персональных данных. Эту сферу контролирует Роскомнадзор. Этот орган мониторит исполнение большого объема нормативно-правовых актов, которые подробно говорят о том, как, где, какие средства защиты необходимо применять с обозначением его характеристик. Важно, что законодательство в этой сфере очень активно подстраивается под требования жизни, ведь злоумышленники тоже всегда идут в ногу с прогрессом. И разработчики средств защиты тоже вынуждены поспевать. 26 октября мы провели семинар на тему информационной безопасности для неограниченного круга лиц, где рассматривали самые свежие повестки и немного заглядывали в будущее: предупреждали участников мероприятия, что вскоре будут введены те или иные новые нормативы и к этому нужно быть готовыми прежде, чем на организацию спустят соответствующий приказ. Разработчики, узнав об этом, сообщили, какие продукты и в какие сроки они будут готовы предложить. Участники семинара получили много новой информации, а также массу знакомств с разработчиками необходимых средств защиты. Прямой контакт с разработчиком дает очень много плюсов. Познакомились и с интеграторами – продавцами этих средств.
Семинар по информационной безопасности затронул еще одну актуальную тему – импортозамещение в сфере информационных технологий, и она тоже напрямую сопряжена с безопасностью. Мы не всегда на 100 процентов можем доверить обрабатываемые сведения зарубежному программному обеспечению. Важно понимать, что все средства защиты информации, применяемые для защиты персональных данных, должны быть исключительно российского производства. Но все мы пользуемся программными комплексами Windows, Microsoft Office, почта у нас иностранная, и в целом мало ПО отечественного производства. На семинаре подняли вопрос импортозамещения именно общесистемных программных продуктов. Разработчики отечественного программного и аппаратного обеспечения рассказали, в чем они преуспели, что уже сейчас можно доставить в наш регион и что им нужно доработать с учетом актуальных потребностей государственных и коммерческих структур. Мы будем точно понимать, что это ПО и техника не работают на заграничные структуры и тем более на мошенников, а приобретение таких продуктов помогает развиваться разработчикам. С одним из разработчиков заключена предварительная договоренность о поставке бесплатных лицензий для школ, чтобы именно на российских программах обучать детей.
– Защита персональных и иных данных – это дорого?
– Да, все эти мероприятия дорогостоящие. Кадровый состав – это квалифицированные специалисты в сфере информационной безопасности, которые требуют должной оплаты труда. А цена технических и программных средств для защиты данных абсолютно разная, ведь сами данные делятся на несколько категорий. Чем категория выше, тем более сильные и дорогостоящие средства нужно применять, поскольку там потенциальная угроза гораздо выше. К примеру, сведения медицинского характера относятся к высшей категории. А информация о зарплате сотрудников, которую многие организации предпочитают не разглашать, – к более низкой, поскольку утечка подобных данных не сильно отразится на жизни человека.
– Пандемия ковида повлияла на сферу защиты информации?
– Безусловно, ведь в связи с пандемией распространилось такое явление, как удаленная работа. Нередко она подразумевает подключение сотрудника коммерческой либо государственной структуры к сети его организации. На этом пути от дома до работы в инфосреде есть множество слабых мест. На семинаре выступили регуляторы, которые объяснили все нюансы, как правильно и безопасно организовать удаленную работу. Еще год назад спроси любого специалиста, как бы он удаленно подключил пользователя, – ответил бы не каждый. Сейчас, конечно, мы разбираемся в этом хорошо, можем надежно защитить данные. Но и для нас были полезны подсказки от регулятора и новые предложения от конкретных разработчиков специального ПО и устройств.
– На территории края насколько часто вы сталкивались с утечкой персональных и других конфиденциальных данных? И каким образом наши данные чаще всего оказываются у тех, с кем мы не взаимодействовали?
– На бытовом уровне всем известно, что коммерческие организации не всегда щепетильны в защите таких данных, но разбираются с этими случаями контролирующие и правоохранительные органы. А происходит это зачастую так. Например, совершая покупку в интернет-магазине, вы ввели свой номер телефона, а специалист по защите информации не проследил за должной защитой ваших данных, и этот номер получили банки и кто-то еще. И хорошо, если этот банк настоящий и предлагает законный кредит.
Но не только на утечке мы должны концентрироваться. В этом году произошел резонансный случай – атака на информационные системы правительства края. Это было сделано не с целью добыть данные, а лишь для того, чтобы нарушить работу системы. Атаковалась информационная система министерства образования региона. Возможно, в этом принимали участие школьники, ведь у нас немало юных талантов в сфере IT, и если они свернут с этой дорожки, в будущем мы получим очень сильных и качественных специалистов. Не исключено, что цель состояла в том, чтобы скрыть от родителей двойки или сломать электронный дневник, чтобы не делать домашнее задание. В любом случае от таких атак систему важно защитить, чтобы она продолжала бесперебойно функционировать, и с этой задачей наши специалисты оперативно справились. Под раздачу попали и информационные системы других министерств, и общие информационные ресурсы.
– Виновные были выявлены во всех случаях?
– К сожалению, не во всех. В ряде случаев применялись сетевые и информационные ресурсы, находящиеся за юрисдикцией России, либо атаки шли из различных городов, и уловить эту линейку представляло сложность.
Летом этого года была попытка использовать информационные сети правительства края самими госслужащими, теперь уже бывшими, с целью майнинга криптовалюты. Именно мониторинговый ресурс министерства цифрового развития позволил обнаружить повышенный поток данных в ненужном направлении. Затем специалисты установили конкретную точку, виновных взяли за руку.
В любой момент перед нами могут появиться новые вызовы, ведь защита информации – это бесконечное противостояние щита и меча.
Читайте этот и другие материалы в электронной версии газеты «Камчатский край» №25 за 3 ноября.
