В ходе III Международной конференции «Развитие информационной безопасности в Казахстане» в Астане эксперты говорили об угрозе утечки персональных данных.
«На сегодняшний день самым активным объектом устремлений конкурентов, недобросовестных работников, мошенников являются персональные данные клиентов. То есть клиенты, потребители - это мы с вами. Наши персональные номера мобильных телефонов, наш WhatsApp, Skype - именно они позволяют зарабатывать и проводить махинации, мошеннические операции. Эти объекты должны быть защищены в каждом предприятии», - сообщил в кулуарах конференции эксперт в области информационной безопасности по странам СНГ Санджар Муминов.
По его словам, в Казахстане приняты меры по защите персональных данных граждан. В ноябре прошлого года вступил в силу соответствующий закон, где четко прописано, что любая коммерческая структура, которая работает с персональными данными клиентов, обязана обеспечить их конфиденциальность. Однако на деле, как отметил эксперт, закон не работает.
«На основании этого закона до конца текущего года все должны принять положение, приказы по конфиденциальности. Но многие предприятия этого не сделали, а многие и не слышали об этом законе. И возникает вопрос, если правительство все необходимое сделало, а компания это не обеспечила, и если завтра будет где-то утечка информации, то вы свои права не сможете защитить», - утверждает Санджар Муминов, отметив, что трудно привлечь к ответственности компанию, если она не закрепила все эти нормы.
Эксперт привел пример, каким образом происходит утечка персональных данных.
«Если сотрудник (банка, организации, компании, которая имеет доступ к персональным данным) уволился из компании, он забирает все персональные данные и может предлагать услуги уже от других компаний. Он может позвонить на личный мобильный клиента. И этот клиент имеет право привлечь к ответственности эту организацию за то, что она не обеспечила конфиденциальность», - пояснил Муминов. При этом он отметил, что примеры взяты из сферы банковского обслуживания и страхования.
Не только в Казахстане имеются проблемы с конфиденциальностью персональных данных. Например, в России ситуация с этой проблемой усугубляется. В частности, многим клиентам российских банков теперь будет крайне сложно доверять им свои данные.
Так, известный общественности инцидент произошел в Зеленограде 17 мая 2013 года. В мусорном баке недалеко от одного из местных отделений Сбербанка прохожие обнаружили пачку документов и сообщили о них сотрудникам банка.
Тогда виновной в инциденте была признана клининговая компания.
А уже в январе 2014 года случился инцидент, который сложно назвать рядовым. В Ижевске на свалке были обнаружены документы Сбербанка, в которых содержались подробные сведения о заемщиках, включая ксерокопии паспортов и данные о доходах.
После появления этой информации все выброшенные документы были в спешном порядке вывезены со свалки. В банке было начато внутреннее расследование, которое должно установить, как документы попали на свалку. К делу подключили полицию.
В связи с присоединением Крыма и дестабилизацией ситуации на Донбассе, Россия подпала под жесткие санкции со стороны ЕС, США и других стран мира. Ответной реакцией Кремля стал запрет на импорт продуктов из стран, подключившихся к санкциям. Еще одной мерой, которая возникла после инцидента с Визой и «Мастеркард, когда они перестали обслуживать клиентов банка «Россия», стали меры Москвы по усилению безопасности хранения персональных данных. Причем, главное требование российских властей – хранение данных на территории России.
Был разработан закон о персональных данных, который должен вступить в силу с 2015 года, по которому всех субъектов, имеющих дело с персональными данными, обяжут хранить их в России. А совсем недавно в ответ на озабоченность россиян по поводу своевременного получения виз, первый заместитель председателя комитета Госдумы по информационной политике и связи Вадим Деньгин заявил, что в связи с изменениями в законодательстве проблем у граждан России с получением иностранных виз не будет.
Так как закон на посольства распространяться не будет. А ситуация может ухудшиться лишь потому, что субъектами хранения персональных данных могут стать исключительно российские компании, а случаи в Зеленограде и Ижевске еще раз свидетельствуют – безопасность персональных данных весьма относительная.
Эпоха хакеров, которые везде и всюду
По большому счету, все, что происходит с персональными данными в России, может происходить и в Казахстане. К примеру, о том, что наши с вами данные гуляют везде, где нужно и не нужно, можно судить по звонкам на мобильные телефоны.
Любому из нас могут позвонить из страховой компании, причем не той, с которой мы заключали договор и предложить свои услуги. Любому из нас по мобильному телефону предлагают те или иные платные услуги, причем не оператор, с которым мы заключали договор. И таких случаев великое множество.
К примеру, в Украине в начале июля 2014 года также произошел случай, из-за которого возникает много вопросов по поводу хранения персональных данных. Тогда хакеры выложили в интернет персональные данные клиентов «ПриватБанка», который принадлежит украинскому олигарху и губернатору Днепропетровской области Игорю Коломойскому. «Мы, «КиберБеркут», проанализировали действия хакерской группы GreenDragon, получившей доступ к конфиденциальной информации вкладчиков «ПриватБанка». Мы подтверждаем наличие множества уязвимостей в системах банка. Господин Коломойский однозначно экономит на грамотных айтишниках. Информационная безопасность «ПриватБанка» не выдерживает никакой критики. Его пресс-служба нагло и цинично лжет, утверждая, что вся конфиденциальная информация и счета клиентов недосягаемы для посторонних лиц», - утверждали хакеры.
Но самый вопиющий случай кражи персональных данных случился в начале октября 2014 года, когда хакеры получили имена, адреса, номера телефонов, адреса электронной почты около 83 млн. клиентов банка JPMorgan Chase.
Есть ли разница? Если есть, то какая?
В связи со всем вышесказанным возникает закономерный вопрос: есть ли разница между тем, что происходит в России, Украине и на Западе?
Отвечу просто – есть, причем кардинальная.
Так, случаи в Зеленограде и Ижевске напрямую ведут к качеству персонала. Точнее будет сказать, к совсем плохому качеству персонала банков.
Во-первых, в ряде российских банков, можно допустить, слабо отработаны процедуры информационной безопасности. Вероятно, на самом высоком уровне топ-менеджеры прекрасно осведомлены о необходимости этой составляющей, но на среднем и низовом уровне такая осведомленность или полностью отсутствует, или присутствует лишь формально.
Во-вторых, такая беспечность банковских служащих есть проявление ситуации во всей банковской системе России. Сбербанк занимает в ней слишком большое место, превалирует, поэтому ответственность, в силу отсутствия конкуренции, просто-напросто атрофирована. То есть Сбербанку и другим российским банкам нужно решать структурные проблемы, а принимая во внимание погружение страны в полную международную изоляцию, в ближайшее время никакого позитива не произойдет.
Так, в случае с украинским «ПриватБанком» и JPMorgan Chase произошло внешнее воздействие – хакерские атаки.
Да, этим банкам нанимать много специалистов по информационной безопасности, но это не структурные проблемы, а проблемы, связанные со слабостью отдельных звеньев. Эти проблемы при наличии соответствующего финансирования решить можно, что на самом деле и происходит.
В свете всего происходящего Казахстану тоже нужно решать проблему конфиденциальности персональных данных. Причем, в обеих плоскостях. Одновременно решать структурные проблемы, улучшать качество персонала, ужесточать внутренние процедуры и нанимать классных специалистов в сфере информационной безопасности.
