В Московской торгово-промышленной палате прошел обучающий семинар для предпринимателей «Оборотные штрафы за утечку персональных данных. Минимизация рисков нарушения информационной безопасности. Перспективы киберстрахования».
«Утечка персональных данных – это тема, которая волнует всех без исключения, - заявил, открывая мероприятие, вице-президент МТПП Сурен Варданян. – С нас везде собирают эти данные, они хранятся в огромном числе баз. Вероятности взлома систем растут, а значит и масштаб последствий также увеличивается. Надо понимать, что полностью исключить риски утечки персональных данных невозможно, можно говорить только об их минимизации. Сегодня вы узнаете, как это можно сделать, в том числе и с использованием, нового продукта – страхования киберрисков, о котором, например, я узнал только недавно».
Первый спикер – советник вице-президента компании «ФБК», лауреат премии Правительства РФ в области науки и техники по направлению «Информатизация» Андрей Курило – отметил, что проблема утечки персональных данных (ПД) сложна своим многообразием. «В последний год количество кибератак на российские компании и базы данных серьезно выросло. Но пока этим занимаются «колхозники», серьезные люди пока еще не вступили в дело», - подчеркнул эксперт. Он отметил, что специалистам следует готовится к более серьезным действиям. При этом, проблема сохранности персональных данных не ограничивается только базами данных персонального характера.
Андрей Курило рассказал о двух сценариях атак на базы данных. Первый – это атаки на записи. Он характеризуется небольшим объемом данных, которые достаточно быстро скачиваются на сторонний носитель. Атакующими могут быть легальные работники на своем рабочем месте, администраторы, разработчики, сознательно оставляющие уязвимость в системе защиты, хакеры, использующие известную уязвимость системы, а также хакеры, использующие АРТ-атаку (она характеризуется длительным периодом изучения системы и подготовкой удара). Вторым сценарием является атака на базу данных. Спикер отметил, что копирование базы данных является легальной операцией, которую производят администраторы. Например, для архивирования. И задача службы безопасности выявлять случаи, когда это копирование представляет угрозу, то есть является несанкционированным. Для этого должны быть разработаны регламенты, отклонение от которых может быть сигналом атаки. При этом одной из самых сложных проблем для идентификации попытки нелегального скачивания является привязка события к субъекту: чаще всего на современном этапе доказать, что именно этот человек «слил» базу, очень трудно. В результате почти никогда не удается виновника привлечь к уголовной ответственности. По словам спикера, «данные на 140 млн человек, то есть на все население нашей страны, уже украдены». Очень часто меры защиты реализованы плохо, поэтому в целом система работает не эффективно. Но, если не менять ситуацию, то украденные базы будут постоянно актуализироваться. Сейчас разработан целый комплекс требований к кибербезопасности, которые необходимо применять. Например, ЦБ разработал 180 требований по защите информации. Андрей Курило назвал несколько обязательных шагов, которые могут в определенной степени обезопасить информацию: сложная парольная защита; недопущение сохранения в системах учетных записей сотрудников, которые были уволены или перешли на другие позиции; установка антивирусных систем; пен-тестирование систем.
Андрей Курило рассказал о разрабатываемых правовых средствах, которые в какой-то мере помогут снизить риск утечек баз данных. По поручению Президента РФ к 1 июля будет рассмотрен вопрос о введении оборотных штрафов в отношении компаний, допустивших утечку ПД. Предполагается, что он может составить порядка 1% от годовой выручки. Также планируется вести административную ответственность за непредставление информации об инцидентах с ПД.
Второй спикер – финансово-страховой консультант проекта Insuretech Юлия Большакова рассказала о достаточно новом страховом продукте – страховке от киберрисков. Она отметила, что этот продукт следует рассматривать как способ финансового нивелирования последствий киберинцидентов. Она отметила, что практически любая компания, которая занимается хранением или передачей данных и операциями с ними, оказывается в зоне риска. «Объем мирового рынка киберрисков оценивается в 2 млрд $», - сообщила спикер. По данным Лаборатории Касперского, 42% российских компаний хотя бы раз теряли важную информацию из-за взломов и утечек, а у трети это происходило неоднократно. Юлия Большакова подробно рассказала об этапах получения компенсации по страховому полису, остановилась на том, как она рассчитывается и какие есть методики оценки возможных последствий киберинцидентов.
Мероприятие проведено при поддержке правительства Москвы и Департамента экономической политики и развития города Москвы