Персональные данные в России 2008

Владимир УЛЬЯНОВ,
руководитель аналитического центра Perimetrix

ПЕРСОНАЛЬНЫЕ данные (ПД) клиентов, партнеров и сотрудников являются важнейшим активом любой современной компании и в то же время ее серьезной проблемой. Утечка персональных данных не выгодна ни компании (она испытывает масштабные репутационные потери), ни владельцам этой информации.

Настоящее исследование призвано выявить текущий уровень защищенности персональных данных в российских компаниях, а также отношение игроков рынка к законодательному регулированию.

Ключевые выводы

• Защита персональных данных является серьезной проблемой для российских организаций. 52% компаний-респондентов обрабатывают более 10 тыс. персональных записей, а 15,3% — более 1 млн записей.
• В большинстве случаев (57,6%) доступ к массивам персональных данных имеют сотрудники службы безопасности и персонал ИТ-подразделений компаний. Риски утечки ПД через ИТ-персонал являются наиболее высокими. Кроме того, 21,9% компаний испытывают риски утечек через топ-менеджеров или руководителей ведущих подразделений.
• Только 64,3% компаний имеют монопольный доступ к обрабатываемым ПД, остальные допускают к информации дочерние или материнские структуры либо партнеров. Для 13,1% операторов это зарубежные фирмы.
• Основная трудность в реализации положений Федерального закона "О персональных данных" заключается в неясном характере этих положений (34,7%). Следом располагаются классические проблемы информационной безопасности: бюджетные  ограничения (20,6%) и отсутствие квалифицированных кадров (19,0%).
• Практически две трети (65,3%) специалистов полагают, что требование обязательного разглашения сведений об утечках ПД должно быть включено в федеральный закон.

Методология исследования и портрет респондента

Данное исследование проводилось в форме онлайн-анкетирования ИТ- и ИБ-специалистов. В период проведения исследования (с 7 июля по 7 сентября 2008 г.) было опрошено 389 респондентов, представляющих компании различных размеров и отраслей.

Распределение компаний-респондентов по размеру оказалось достаточно равномерным: в нем присутствуют компании малого бизнеса, предприятия среднего размера и крупные корпорации, имеющие более 10 тыс. сотрудников (6,9% участников).

Отраслевое распределение, напротив, является очень специфичным. Практически три четверти (72,5%) респондентов представляют всего лишь два вертикальных рынка: финансовую (46,8%) и телекоммуникационную (25,7%) отрасли.

В рамках исследования были учтены ответы только сотрудников и руководителей департаментов информационных технологий и информационной безопасности различных организаций. Небольшой перевес в численности оказался на стороне сотрудников ИБ.

Кроме того, подавляющее большинство участников опроса (84,6%) участвуют в процессах принятия решений в области информационной безопасности, принимают окончательные решения (22,4%) или дают рекомендации для руководства (62,2%).

Обработка персональных данных в российских компаниях

Внимание каждой компании к проблеме защиты персональных данных напрямую зависит от целого ряда факторов. Первым фактором является масштаб проблемы, то есть количество обрабатываемых записей ПД.

Более чем половина респондентов (52,0%) преодолели "психологическую" отметку в 10 тыс. записей персональных данных (рис. 1). Утечку такого объема информации уже нельзя назвать локальным инцидентом.

В особую группу риска попадают организации, обрабатывающие огромные объемы персональных данных, которые измеряются миллионами записей. Таких предприятий в России тоже хватает (15,3%). И если компания, хранящая сведения десятков тысяч людей, еще как-то может полагаться "на авось", не заботясь об адекватной защите, то для крупных компаний такой подход абсолютно неприемлем. Когда становится известно об утечке миллионного масштаба, различные медиаагентства быстро тиражируют новость. Репутация компании начинает резко падать, что неизбежно приводит к мгновенному снижению стоимости акций и долгосрочным потерям в будущем.

Каким образом могут "утекать" ПД? По данным мировой статистики    по    инцидентам, около 90% всех происходящих утечек так или иначе связаны с действиями персонала. Здесь речь идет не только о спланированном инсайде. Помимо инсайда существует масса других сценариев утечки. Можно выделить пять наиболее стандартных сценариев утечки ПД:

• кража или потеря носителей (ноутбуков) с ПД;
• Web-утечка: случайная публикация персональных данных в общедоступных местах (Интернете или интранете);
• спланированный инсайд: умышленная кража информации сотрудником, имеющим легальный доступ к ней;
• бумажная утечка: печать и распространение ПД на бумажных носителях;
• внешний взлом корпоративной сети.

Первые четыре сценария являются внутренними ИБ-угрозами. Таким образом, риски утечек персональных данных напрямую зависят от количества людей, имеющих доступ к массивам этой информации (см. рис. 2).

В идеале доступ к ПД должны иметь только сотрудники службы безопасности. На практике такая ситуация встречается очень редко (5,1%), в большинстве случаев (57,6%) доступ к информации имеет и ИТ-персонал организации.

Достаточно часто (21,9%) доступ к ПД предоставляется топ-менеджерам,  действия  которых всегда отличаются повышенным уровнем халатности. Кроме того, определенные опасения вызывают сотрудники аналитических служб, имеющие доступ к персональным данным в 18,5% случаев.

Отдельного внимания заслуживают службы технической поддержки и контактные центры. Эти подразделения, как правило, комплектуются не самыми квалифицированными сотрудниками и обладают высоким уровнем текучки кадров. При этом операторы контактных центров практически всегда имеют доступ к персональным данным, которые необходимы им для обслуживания клиентов.

КОММЕНТАРИЙ ЭКСПЕРТА Елена Голованова, генеральный директор компании "ИнфоТехноПроект" Сложилась ли в российских компаниях культура обработки персональных данных? Если отвечать на этот вопрос применительно к Федеральному закону "О персональных данных", то его существования в российской действительности слишком мало для того, чтобы успели сложиться какие-либо практики. Сегодня все — и операторы, и субъекты персональных данных — только делают первые шаги в освоении требований Федерального закона. Однако обработка персональных данных как один из видов деятельности компаний существует уже давно, хотя не всегда это называлось именно так. Вначале больше говорили о приеме на работу и последующем оформлении работника, выплатах ему больничных и иных социальных платежей. Затем заговорили о пенсионных накоплениях и кредитных историях, абонентах мобильной связи и базах данных пассажиров. И это все — информация, содержащая персональные данные. Следовательно, процессы их обработки уже давно запущены. И мне кажется, говорить в данной ситуации необходимо не о культуре обработки персональных данных в компании, а о культуре компании, обрабатывающей персональные данные, то есть о культуре оператора персональных данных. Что же это значит? Во-первых, стремление оператора сохранить доверенную ему субъектом персональных данных информацию без ущерба для этого субъекта. Во-вторых, проведение мониторинга законодательства РФ на предмет появления новых требований, влияющих на процессы обработки персональных данных в интересах их внедрения в практику. И, в-третьих, жесткий контроль своей деятельности для предупреждения и исключения нарушений прав субъектов персональных данных. Существует мнение, что контроль деятельности оператора по обработке персональных данных — это исключительно забота уполномоченного органа. В настоящее время этим органом является Федеральная служба по надзору в сфере связи и массовых коммуникаций. При среднем количестве операторов (более 7 миллионов) контроль уполномоченного органа для недобросовестных операторов не страшен. Именно отсутствие жалоб субъектов персональных данных на деятельность оператора служит высокой оценкой его культуры обработки персональных данных.

Защищенность персональных данных (см. рис. 3) практически идентична защищенности информации, которая составляет коммерческую тайну. Из этого тезиса можно сделать два вывода: с одной стороны, российские компании осознают важность защиты персональных данных, с другой — осознание этого факта отнюдь не равноценно качественной системе безопасности. В большинстве современных предприятий защищенность персональных данных и защищенность сведений, которые составляют коммерческую тайну, находятся на одинаково низком уровне.

КОММЕНТАРИЙ ЭКСПЕРТА Степанова Ирина, специалист по информационной безопасности, "Южная Софтверная Компания" Должны ли компании разглашать сведения об утечках персональных данных и оповещать владельцев этих данных в обязательном порядке? На текущий момент в нашей стране доказать факт утечки информации довольно сложно, потому что часто в организациях нет инструментов их обнаружения. Поэтому о факте становится известно, когда данные появляются на рынке и/или в Интернете. Однако недостаточно найти канал утечки, необходимо еще доказать, что это именно тот. Поэтому чаще мы слышим об утечках от зарубежных, а не от российских компаний. Но если опустить эти "тонкости" и говорить об утечке как о признанном факте со стороны компании-оператора персональных данных, то сведения о них необходимо доводить до общественности и, в частности, до самих владельцев данных. На мой взгляд, очень важно оповещать владельца об утечках. Только оповещенный об утечке субъект персональных данных сможет воспользоваться правами, описанными в ФЗ №152 "О персональных данных" от 27 июля 2006 г. Кроме того, считаю не менее важным оповещение общественности об инцидентах защиты персональных данных у оператора этих данных. Да, для компании-оператора уведомление о проблемах в области информационной безопасности не лучший способ для саморекламы. Но со временем при развитии этой практики, думаю, плюсов будет больше, чем минусов. Добавлю, что процедура оповещения должна быть четко прописана в нормативно-правовых документах, чтобы облегчить ее реализацию.

Два наиболее действенных класса систем защиты — решения для шифрования данных в местах хранения и комплексные продукты по защите от утечек — имеют довольно низкое проникновение на российском рынке (36 и 24% соответственно). Все остальные системы безопасности занимаются защитой исключительно от внешних вторжений и потому не могут ничего поделать с более опасными внутренними угрозами.

В последнее время все большую актуальность стали приобретать так называемые "партнерские утечки" персональных данных, которые допускаются "третьими" компаниями. По данным Ponemon Institute, практически 40% мировых инцидентов возникают в результате ошибочных действий партнеров и аутсорсеров.

В нашей стране культура аутсорсинга пока еще далека от западной, и потому российская ситуация с партнерскими утечками (см. рис. 4) не так сложна. Две трети (64,3%) отечественных компаний не делятся своими персональными данными ни с кем и никогда, а еще 24,7% разделяют информацию только с дочерними и материнскими структурами. И только 11,1% респондентов испытывают риски партнерских утечек по полной программе.

13,1% российских организаций делится персональными данными с иностранными организациями — материнскими компаниями или обычными партнерами. Вместе с тем, согласно Федеральному закону "О персональных данных", делать это можно лишь с согласия владельцев информации, которое технически невозможно получить.

Получается типичный правовой коллапс — ограничения закона оказываются невыполнимыми, и потому они фактически не выполняются. При этом перед всеми иностранными компаниями возникают масштабные правовые и репутационные риски, которые в теории могут привести к сворачиванию их бизнеса в России.

Законодательное регулирование защиты персональных данных

Рост озабоченности российских компаний влиянием федерального закона косвенно подтверждается собранной статистикой. Абсолютное большинство (79,7%) специалистов уже пытались вникать в положения ФЗ и задумывались о его возможном влиянии на бизнес. Оставшиеся 20,3% респондентов имеют о законе смутное представление либо вовсе с ним не знакомы.

Пятая часть (20,3%) респондентов предполагает, что их компания полностью удовлетворяет требованиям закона (рис. 5). Весьма смелое утверждение, особенно если учесть туманность и размытость этих требований. В каждом конкретном случае трактовка положений ФЗ может производиться по-разному, и до появления конкретизирующих нормативов заявлять о полном соответствии почти бессмысленно.

Вместе с тем более половины специалистов честно признают, что их компании выполняют не все требования закона (46,3%) либо не выполняют их вовсе (11,1%). Для достижения соответствия этим компаниям придется инвестировать средства в развитие системы ИБ.

Основным препятствием на пути соответствия закону (см. рис. 6) является нечеткость и размытость его положений — эту проблему отметили почти 35% респондентов. Как и всегда, весьма актуальными трудностями остаются бюджетные ограничения, а также отсутствие квалифицированных специалистов — каждый из этих пунктов набрал примерно по 20% голосов. Остальные сдерживающие факторы, по-видимому, не являются серьезной проблемой для большинства организаций.

В целом операторы персональных данных готовы добиться соответствия федеральному закону, однако они не могут понять, как именно это можно сделать. Медлительность чиновников оказывает негативное влияние и на вендоров систем защиты, которые теряют ориентиры при разработке защитных продуктов. Можно с уверенностью утверждать, что работающий федеральный закон нужен не только для защиты владельцев ПД, но и для развития рынка ИБ в целом.

Более того, участники рынка считают важным не только выполнять положения ФЗ в их нынешнем виде (при условии публикации конкретизирующих документов), но и даже усиливать их в целях защиты владельцев персональных данных. В частности, практически две трети (65,3%) респондентов уверены, что требование об обязательном разглашении информации об утечках ПД должно быть включено в федеральный закон. Такое требование значительно увеличит ущерб компаний в результате каждой утечки информации, а значит, заставит уделять безопасности большее внимание. 18,5% участников исследования считают, что компании вправе сами решать, как им поступать в случае утечки, а 16,2% затрудняются ответить на вопрос.

Резюмируя все вышесказанное, легко прийти к выводу о растущем влиянии федерального закона в сравнении с другими регулирующими документами. Этот закон уже сейчас является более значимым документом (рис. 7), чем все остальные нормативные акты, в том числе и отраслевые стандарты. В будущем по мере конкретизации требований закона его влияние на бизнес только увеличится.

Впрочем, преуменьшать значение других документов также не стоит. В отличие от федерального закона (под действия которого подпадают едва ли не все организации) они имеют ограниченную область применения и иногда необязательный характер. Однако требования таких нормативов, как "Базовый уровень операторов связи", стандарт Банка России "СТО БР ИББС" или стандарт PCI DSS, можно реализовать уже сегодня.   Как следствие, некоторые компании рассматривают именно эти документы в качестве дорожной карты для создания корпоративной системы безопасности.

Заключение

Исследование "Персональные данные в России 2008" показало чрезвычайную важность и растущую актуальность защиты ПД. На сегодняшний день российские компании обрабатывают огромное количество персональных данных, доступ к которым имеет целый ряд корпоративных подразделений и департаментов. В большинстве случаев этот доступ никак не контролируется, что приводит к высоким рискам утечки.

Законодательное регулирование защиты ПД до сих пор практически не работает, а основной норматив — ФЗ "О персональных данных" — по-прежнему выдвигает слишком общие и неконкретные требования. Каждая компания трактует эти требования исходя из собственных соображений, а иногда просто их игнорирует. Правоприменительная практика в отношении ФЗ отсутствует, контроль над исполнением закона де-факто не производится.

Вместе с тем несколько, казалось бы, незначительных шагов, которые были предприняты в течение последнего года, наглядно показали общественности, что государство не собирается отказываться от своих замыслов. От этих действий Закон "О персональных данных" не стал понятнее, однако он приобрел некую новую актуальность, которая со временем будет только расти.