Госорганы все реже могут позволить себе игнорировать сливы информации. Если за рубежом власти давно демонстрируют нетерпимость к утечкам, в России до сих пор отношение к ним было спокойное. Более того, политики и чиновники как будто вовсе не понимают, из-за чего весь сыр-бор. Но ситуация меняется.
Штрафы — вместо тысячи слов
В странах, где законы и практика в области защиты информации давно проработаны, не возникает дискуссий относительно опасности утечек и сливов — нарушителей просто наказывают без «лишних» слов. А с прошлого года, когда в силу вступил европейский регламент GDPR, — тем более. В этом году мы видим результаты первых дел. Рекордный штраф в 230 млн. долл. получила авиакомпания British Airways. Бюро Equifax, которое допустило слив конфиденциальных сведений о 147 млн. своих клиентов, заплатит около 100 млн. долл. только в виде штрафов. И еще от 400 до 525 млн. — в фонды защиты потребителей.
Крупнейшим в истории США штрафом в 5 млрд. долл. завершилась и история многочисленных скандалов вокруг Facebook. Правда, в этой истории власти кроме сухого счета позволили себе эмоциональную оценку. Они подчеркнули, что главу Facebook Марка Цукерберга необходимо лишить «безграничного контроля» над «решениями, затрагивающими конфиденциальность пользователей», и обязали соцсеть создать независимый комитет по приватности.
Не в пример активнее на утечку официальных документов отреагировал Дональд Трамп. В начале июля в прессу попали засекреченные депеши посла Великобритании в Вашингтоне сэра Кима Даррака, в которых он называет президента США «некомпетентным» и «неумелым» лидером, «излучающим неуверенность в себе», и предупреждает, что президентство может закончиться катастрофой. Трамп отреагировал незамедлительно, назвал дипломата «тупым» и «напыщенным» и отказался вести с ним дела. При том, что в Британии посла поддержали, он принял решение уйти в отставку, чтобы не создавать лишней напряженности.
Расстаться со своим постом пришлось и губернатору Пуэрто-Рико. Рикардо Россело сложил полномочия под давлением массовых протестов, которые разбушевались из-за утечки его переписки в Telegram. В групповом чате экс-губернатор отпускал сексистские и гомофобные комментарии в адрес политиков и селебрити, шутил над жертвами катаклизмов и обсуждал потенциально коррупционные схемы. После того, как жители вышли на улицы, двое сотрудников правительства, участвовавших в беседе, уволились самостоятельно. Сам Россело отказывался уходить в отставку, пока палата представителей Пуэрто-Рико не начала процедуру импичмента.
У нас реакция отсроченная. Но есть
По сравнению с жесткими мерами, принимаемыми на Западе, в России чиновники ни штрафами, ни жесткими оценками не демонстрировали озадаченность проблемами утечек данных. Роскомнадзор, отвечающий за охрану персональных данных в России, отказался наказывать за утечку онлайн-магазин Ozon. В сети нашли более 450 тыс. пар «логин-пароль» от аккаунтов на сайте магазина, подлинность около 30 тыс. из них подтвердилась. Ведомство выражало обеспокоенность инцидентом и участвовало в его расследовании. Но в конечном итоге не увидело в инциденте нарушения прав субъектов персональных данных, поскольку потока обращений клиентов Ozon... «не зафиксировали».
Такую же спокойную реакцию вызвала и утечка Росстата. После преждевременной публикации данных об инфляции в России за июнь глава Минэкономразвития Максим Орешкин потребовал провести внутреннее расследование в Центробанке и Росстате. По мнению министра случившееся — утечка, Росстат раньше времени поделился с ЦБ сведениями. В Банке России с ним не согласились и заявили, что в служебном расследовании необходимости нет.
Но ситуация понемногу меняется. В мае эксперт Иван Бегтин обратил внимание, что сведения о 350 тыс. россиян лежат в открытом доступе на сайтах государственных информационных систем — от реестра НКО Минюста до муниципальных порталов госзакупок. В базах кроме того нашли данные вице-спикера Госдумы Александра Жукова, главы Роснано Анатолия Чубайса, сопредседателя фонда «Сколково» Аркадия Дворковича, телеведущего Владимира Соловьева и других известных личностей. Похоже, что это и стало причиной невиданной до сих пор реакции. В течение недели после обнародования инцидента в СМИ в Госдуму внесли инициативу по ужесточению контроля за хранением информации в государственной системе, а также предложили создать рабочую группу по вопросам защиты персональных данных россиян. В июле депутат Госдумы заявил о необходимости кратно поднять штрафы для виновников сливов.
Скептичной поначалу была реакция на утечку данных в Казахстане, но после принять административные меры пришлось. В июле стало известно о потере личных данных 11 млн. жителей страны (60% населения) — это крупнейший инцидент информационной безопасности в истории государства. Широкий общественный резонанс вынудил Министерство цифрового развития, оборонной и аэрокосмической промышленности РК создать спецкомитет по защите персональных данных.
И это несмотря на то, что публично вице-спикер нижней палаты Мажилиса Казахстана Владимир Божко фактически переложил ответственность за утечку на самих граждан: «Залезьте в социальные сети, вы же уже все там так распиарились, чуть ли не о первой любви своей написали. Я не вижу большой угрозы, хотя определенные есть сложности, связанные с тем, чтобы это не повлияло на посягательство на финансовые интересы наших граждан», — заявил чиновник.
Утечки информации начинают вызывать прямую реакцию властей в России и на постсоветском пространстве. Появилось понимание, что сливы, в частности, персональных данных граждан, напрямую затрагивают интересы государств. Чем больше инцидентов попадает в публичное поле, тем последовательнее становятся действия властей по защите информации — вспомните, как принимался европейский GDPR. Проблема в том, что пока государства принимают в основном карательные меры — штрафуют, отдают под суд и снимают с постов тех, кто уже допустил утечку, но этого мало. Полезно будет сосредоточиться на предотвращении нарушений, создать условия, в которых риск сливов сведется к минимуму.
Точечно такие меры принимаются — например, после утечек на WikiLeaks Госдепартамент США ограничил доступ военных к дипломатическим данным, а Пентагон ввел запрет на использование флэшек.
В идеале в законодательстве должно быть четко закреплено, какими техническими инструментами должна быть обеспечена защита персональных данных. И перечень этих защитных средств хорошо известен. Это средства полного сканирования на предмет неправомерного хранения данных (класс решений eDiscovery), система предотвращения утечек данных (DLP); системы контроля активности сотрудников; инструменты расследования. Последнее обезопасит в первую очередь сами организации, чтобы, в случае утечки, ответственность легла на конкретного виновника, а не все ведомство целиком. Этот перечень, правда, не убережет политиков от неаккуратных высказываний в Telegram и личной почте, а значит, и их карьеры тоже не убережет. Но это предмет другого разговора.