24/799,98%SLA
Эксперты: персональные данные будут главной мишенью киберпреступников в ближайшие годы

Эксперты: персональные данные будут главной мишенью киберпреступников в ближайшие годы

  • Когда: 04 Июля 2019 г.

Персональные данные людей привлекают все больше внимания со стороны злоумышленников и становятся одной из главных мишеней кибератак в современном цифровом мире. К такому мнению пришли эксперты на семинаре «152-ФЗ: ожидания и реальность», посвященном широкому спектру вопросов безопасной работы с персональными данными.

Любые личные данные – из отсканированного паспорта, СНИЛС или ИНН - могут с легкостью использовать преступники, например, для оформления электронной подписи в удостоверяющем центре, считает Борис Меркулов, инженер по облачным решениям и информационной безопасности Linxdatacenter. «Обладание такой подписью позволит им далее открывать и закрывать ИП или ООО, подписывать платежные документы, обращаться в банки за займами от имени человека, чьи данные были похищены. Если посмотреть на историю последних крупных утечек данных в мире, то акцент именно на ПДн будет очевиден. Профессиональные решения в области информационной безопасности, которые обеспечивают соблюдение требований законов о ПДн, – это уже не опция, а необходимость», - отметил эксперт.   

С ним согласна Наталия Неверовская, партнер юридической фирмы «Юникомлигал». «Если раньше по вопросам ПДн к нам обращались в основном иностранные компании, то сегодня наблюдается шквал таких обращений буквально от всех – начиная от серьезных бизнес-игроков вплоть до театров, музеев, библиотек и медицинских клиник. Новые форматы предоставления услуг и проникновение цифровых инструментов в сферы, ориентированные на конечного пользователя (торговля, банки, страхование), серьезно расширили как объем используемых современной экономикой ПДн, так и перечень типов данных, подпадающих под это определение. Сегодня под персональной информацией человека принято подразумевать любые данные, позволяющие идентифицировать личность человека: номер телефона, IP-адрес, никнейм на различных ресурсах в Интернете – все это является ПДн», - подчеркнула Наталья Неверовская. 

Таким образом, любая компания и организация сегодня так или иначе является оператором данных, а, значит, несет определенные законом обязанности и ограничения.

Ольга Ермакова, старший юрисконсульт и комплаенс специалист Linxdatacenter, отметила важность соблюдения всех этапов проекта по организации защиты ПДн. Самый важный этап – аудит, поскольку по его итогам выявляются текущая ситуация с обработкой ПДн в организации, намечаются контуры архитектуры будущего решения, распределяются роли ответственных за проект сотрудников. Например, именно на этапе аудита необходимо назначить руководителя проекта, который станет ответственным лицом по обработке данных для дальнейших контактов с Роскомнадзором. 

Второй важный момент – осознание непрерывности задач по работе с ПДн в структуре бизнес-процессов компании. Любые изменения бизнес-процессов, структуры штата, обновления законодательства и правоприменительной практики обязывают компанию проводить обновление всех регламентов, процессов, архитектуры, моделей актуальных угроз и т.д. 

Участники семинара отметили перспективу необходимости приводить к единому знаменателю требования российского 152-ФЗ и европейского GDPR, а также роль в процессах защиты ПДн такой составляющей, как обучение персонала процессам обработки данных. Закон дает определенную свободу: каждый оператор самостоятельно решает, какие данные хранить, каким способом и как долго, как уничтожать и т.д. Индивидуальная внутренняя политика организаций в области защиты данных должна быть не только разработана, но и доведена до сотрудников. 

«После аудита бизнес-процессов, получения заключения, моделирования угроз и определения необходимого уровня защиты ПДн начинается работа над созданием ТЗ, ТП и ОРД. Внедрение системы защиты ПДн происходит сегодня только на базе данного набора проектной документации и согласно указанной последовательности действий, - подчеркивает Ольга Ермакова.

Эксперты сошлись во мнении, что проекты по защите ПДн имеет смысл отдавать на аутсорсинг подрядчику, компетенции которого сочетают в себя необходимый уровень юридической и технической экспертизы. «Такой подход потребует больше времени, денег и не предоставит большого выбора подходящих исполнителей, но зато гарантирует 100% соблюдение требований законодательства, защитит ПДн субъектов на должном уровне, а также гарантирует понимание всех тонкостей обработки личных данных применительно к задачам конкретного бизнеса», - рассказала Ольга Ермакова.   

Локальная система информационной защиты виртуальных машин потребляет много вычислительных ресурсов, замедляет их быстродействие и повышает нагрузку на сеть. Передача же обработки ПДн в облако внешнему сервис-провайдеру позволяет обеспечить высокую скорость работы ИТ-системы и завязанных на ней бизнес-процессов при одновременном выполнении всех требований, связанных с ИБ. В облаках это обеспечивается безагентским подходом к реализации комплекса ИБ-мер, когда антивирусы, сканеры и другие инструменты получают доступ к ресурсам ИТ-системы без установки программы-агента на тот же сервер, что повышает скорость сканирования виртуальных машин, портов, узлов сети и т.д. 

Также облака предоставляют возможности масштабировать любые ИТ-ресурсы, в том числе для обеспечения необходимого уровня защиты данных, по запросу в зависимости от требований компании. К примеру, инструменты виртуализации VMware, используемые в составе облачных сервисов Linxdatacenter, позволяют эмулировать ИБ-компоненты ИТ-инфраструктуры, включая программные свитчи типа NSX Edge Gateway, для гарантии полной безопасности всех подключений. 

Семинар был организован компанией Linxdatacenter, международным экспертом в сфере высокотехнологичных решений по хранению данных, облачных сервисов и телекоммуникаций, при информационной поддержке Российско-Британской торговой палаты и Финско-Российской торговой палаты в Москве. 


Последние новости

Наверх