Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?

Екатерина Добрикова

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
За последний год появился ряд законодательных актов и инициатив, призванных обеспечить "цифровую" безопасность россиян и юридических лиц. В частности, была усилена административная ответственность за нарушения правил обработки персональных данных, утверждена Доктрина информационной безопасности, в Госдуму внесен законопроект о защите критической информационной инфраструктуры и др.

Разберемся, как, по оценке экспертов, обстоят дела с кибербезопасностью в России сейчас и каких изменений в этой сфере следует ожидать в ближайшее время.
 



Защита персональных данных

В качестве основных источников киберпреступлений в сфере защиты персональных данных Роскомнадзор выделяет следующие:



принятие субъектом пользовательских соглашений по умолчанию (подобные соглашения могут предусматривать согласие пользователя на неограниченную передачу его персональных данных третьим лицам);



использование "серых" мобильных приложений (установка непроверенных программ нередко становится причиной кражи учетных данных пользователя, а также появления на его устройстве вирусов, которые могут повлечь списание денег с мобильного счета и др.);



фишинг (интернет-мошенничество, целью которого является получение доступа к конфиденциальным данным пользователей путем проведения массовых рассылок электронных писем от имени популярных компаний);



передача персональных данных по незащищенным каналам связи;



использование геолокационных сервисов (указание пользователем сведений о своей геолокации позволяет установить его местонахождение, что может быть использовано злоумышленниками);



распространение своих персональных данных в открытых источниках;



общение с незнакомыми людьми в соцсетях и др.

Одной из наиболее существенных законодательных инициатив по защите персональных данных россиян стал закон, расширивший перечень составов правонарушений в этой сфере и усиливший административную ответственность за них (Федеральный закон от 7 февраля 2017 г. № 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях").

Напомним, что сейчас КоАП РФ содержит несколько размытую формулировку, предусматривая наказание в целом за нарушение порядка обработки персональных данных – что именно под этим подразумевается, не уточнено. Но уже с 1 июля появятся семь конкретных составов административных правонарушений, среди которых:



обработка персональных данных в случаях, не предусмотренных законом, а также без получения письменного согласия на это их субъекта;



невыполнение оператором установленной законом обязанности опубликовать или предоставить неограниченный доступ к документу с политикой по обработке персональных данных или сведениями по их защите;



непредоставление субъекту персональных данных информации по их обработке и др. (п. 1 ст. 1 Федерального закона от 7 февраля 2017 г. № 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях").

При этом увеличатся и штрафы: в зависимости от вида совершенного правонарушения граждане могут быть оштрафованы на сумму от 700 руб. до 5 тыс. руб., должностные лица – на сумму от 3 тыс. до 20 тыс. руб., ИП – на сумму от 5 тыс. до 20 тыс. руб., юрлица – на сумму от 15 тыс. до 75 тыс. руб. Для сравнения – сейчас максимальный размер штрафа составляет для граждан до 500 руб., для должностных лиц – до 1 тыс. руб., для юридических лиц – до 10 тыс. руб. (ст. 13.11 КоАП РФ).

О том, какие сотрудники и подразделения должны быть оповещены о прибытии проверяющих из Роскомнадзора, какие документы при этом должны быть предъявлены и на что обратить внимание при проверке документов, узнайте из материала "Памятка: встречаем проверяющих из Роскомнадзора (проверка в области персональных данных)" в "Энциклопедии решений. Проверки организаций и предпринимателей" системы ГАРАНТ. Получите бесплатный
доступ на 3 дня!

Получить доступ

По мнению бизнес-консультанта по безопасности компании Cisco Systems Алексея Лукацкого, повышение размеров штрафов поможет существенно снизить количество нарушений закона о персональных данных: "Принято считать, что сейчас независимо от количества нарушений наказание может быть только одно. Тогда как предлагаемую статью можно будет трактовать так: сколько нарушений, столько и наказаний. Это коренным образом поменяет всю практику надзорной деятельности и отношение операторов к этой теме. Одно дело пострадать на 10 тыс. руб. максимум по текущей версии статьи или заплатить по новой версии за каждое нарушение вплоть до 75 тыс. руб. Кумулятивный ущерб может стать серьезным стимулом соблюдать требования закона".

Кроме того, большую часть указанных выше угроз, по словам заместителя руководителя Роскомнадзора Антонины Приезжевой, можно нивелировать путем повышения уровня информированности россиян об их правах и обязанностях в процессе обработки персональных данных. Вместе с тем эксперты отмечают, что индекс цифровой грамотности граждан хоть и растет, но остается на достаточно низком уровне. Так, по данным Регионального общественного центра интернет технологий (РОЦИТ), в 2015 году этот индекс составил 4,79, а в 2016 – 5,42 по десятибалльной шкале.

Неутешительные цифры приводит и Microsoft – примерно 75% россиян хотя бы раз в жизни сталкивались с интернет-рисками. "По итогам нашего исследования был составлен рейтинг стран по уровню цифровой культуры, и Россия заняла 12 место среди 14 стран, принявших участие в опросе. Россия превышает международные показатели по таким интернет-рискам, как агрессивное поведение в сети и риски нежелательных контактов", – заявила директор по корпоративным вопросам Microsoft в России Ульяна Зинина в ходе международного форума по кибербезопасности CSF, состоявшегося в феврале в Москве.

В целях совершенствования защиты персональных данных россиян Роскомнадзором в прошлом году была разработана Стратегия институционального развития и информационно-публичной деятельности в области защиты прав субъектов персональных данных на период до 2020 года. Антонина Приезжева назвала этот документ генеральной программой действий и правил ведомства при принятии основополагающих решений. В частности, в Стратегии определены такие приоритетные задачи, как стимулирование добросовестного поведения субъектов и операторов персональных данных и совершенствование механизмов регулирования в этой области, в том числе применение механизмов саморегулирования. "Сейчас мы активно готовим методические рекомендации по разработке отраслевых стандартов в области защиты прав субъектов персональных данных, которые станут, как мы надеемся, методическим ориентиром для профессиональных сообществ и операторов, которые заинтересованы в создании отраслевой системы защиты прав субъектов персональных данных", – уточнила представитель ведомства.

Помимо этого, Роскомнадзор планирует на систематической основе проводить в образовательных учреждениях различного уровня открытые уроки, тренинги и тематические конкурсы. Также, по словам Приезжевой, предлагается создать ряд тематических роликов социальной рекламы и транслировать их на телевизионных каналах в общественных местах.
 



Безопасность детей в сети

В последнее время все чаще встает вопрос о защите интересов детей в Интернете. Во многом это связано с участившимися случаями интернет-мошенничества, вовлечения подростков в совершение преступлений и склонения их к суицидам. Все чаще злоумышленники используют для этого Интернет, выходя на контакт с несовершеннолетними, которые часто оставляют на форумах и "страничках" в соцсетях свои персональные данные, а нередко и персональные данные родителей (например, данные банковских карт).

Антонина Приезжева в связи с этим назвала детей наиболее незащищенной категорией интернет-пользователей и напомнила, что в целях предупреждения возможных нарушений их прав ведомством запущен и активно развивается информационно-развлекательный и образовательный портал "персональныеданные.дети", цель которого в игровой форме объяснить подрастающему поколению, как безопасно использовать свои личные данные в Интернете.

Кроме того, среди мер, направленных на формирование у детей навыков безопасного поведения в сети, можно выделить урок безопасного Интернета, который ежегодно проводится в российских школах. Однако директор российского Координационного центра национального домена сети Интернет Андрей Воробьёв отметил, что такие уроки нужно поставить на регулярную основу: "Один урок в год – явно мало. Тот объем информации, который уже накоплен, невозможно преподнести за один урок так, чтобы он остался в головах у слушателей".

Вместе с тем одних только внешних мер недостаточно, если отсутствует контроль со стороны родителей. Так, директор департамента государственной политики в области средств массовой информации Минкомсвязи России Екатерина Ларина подчеркнула, что в социальных сетях дети и родители обязательно должны быть друг у друга в друзьях. О необходимости родительского контроля в конце декабря минувшего года упоминал и Руководитель Патриаршего центра кризисной психологии Михаил Хасьминский, который порекомендовал устанавливать на домашние компьютеры фильтры доступа к определенным ресурсам, отслеживать трафик истории посещений сайтов, направлять родителям СМС-сообщения при посещении ребенком запрещенных страниц, предоставлять родителям возможность просматривать переписку детей и т. д. Подобную точку зрения разделяет и заместитель министра связи и массовых коммуникаций РФ Алексей Волин: "Мы должны четко рассказывать людям, что любая информация в соцсетях и в Интернете в любой момент может быть использована против них. Нужно обучать родителей пользоваться системами родительского контроля и проверять, что делают их дети в сети. Желательно устанавливать фильтры, которые ограничивали бы их в достаточно безопасных зонах".

В том, что никакой приватности в сети у детей быть не может, убежден и интернет-омбудсмен Дмитрий Мариничев.

Информирование детей о правилах общения в сети, а также использование взрослыми элементарных основ родительского контроля, по мнению экспертов, может существенно повысить безопасность несовершеннолетних в кибер-пространстве.
 



Цифровая защита юридических лиц

Кибер-рискам подвержены и юридические лица, причем не застрахованы от этого даже крупные организации и государственные структуры. "В первой половине 2016 года зафиксировано 974 утечки, в результате которых было потеряно более 554,5 млн единиц данных", – поделился руководитель направления информационной безопасности компании "Madcrush" Дмитрий Малышев. По данным президента группы компаний InfoWatch Натальи Касперской, количество утечек персональных данных в 2016 году выросло на 300% – в прошлом году было "потеряно" свыше 3,1 млрд записей. При этом InfoWatch было зафиксировано 44 мегаутечки, при каждой из которых было утрачено свыше 10 млн записей. Для сравнения – в 2015 году таких инцидентов было всего 21.

Частные компании совместно с государством предпринимают активные усилия для минимизации рисков и количества утечек. Так, положительные сдвиги есть в сфере борьбы с фишингом.

По словам Андрея Воробьёва, в минувшем году к борьбе с противоправными ресурсами присоединились Роскомнадзор и Финансово-аналитический центр Банка России. "Эти организации показали достаточно активную работу. Банк России подписал соглашение с КЦ и с регистратурой домена ".su". Таким образом, сегодня все три российских домена [.рф, .ru и .su. – Ред.] от фишинга надежно защищены. И как только выявляются соответствующие нарушения, направление запросов в адрес регистраторов доменов позволяет блокировать эти ресурсы. В общем-то это успешный пример и, возможно, в скором времени он выльется в какую-нибудь законодательную инициативу", – рассказал он.
 



Доктрина информационной безопасности

В декабре 2016 года президентом был утвержден один из основополагающих документов в сфере защиты граждан, юридических лиц и государства от кибер-угроз – Доктрина информационной безопасности (Указ Президента РФ от 5 декабря 2016 г. № 646; далее – Доктрина). Доктрина носит общий характер – определяя основные информационные угрозы, среди которых, например, пропаганда экстремистской идеологии, рост компьютерной преступности в кредитно-финансовой сфере и др. Она не предлагает практических шагов по устранению этих проблем. Однако по словам заместителя председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству, председателя временной Комиссии Совета Федерации по развитию информационного общества Людмилы Боковой, на площадке верхней палаты парламента уже запланировано обсуждение предложений по разработке соответствующих подзаконных нормативных правовых актов.

Вместе с тем документ вызвал немалый резонанс, поскольку на официальном уровне провозгласил суверенитет России в информационном пространстве в качестве одного из основных направлений информационной безопасности (подп. "а" п. 29 Доктрины), обеспечить которую предлагается в том числе путем недопущения иностранного контроля за функционированием объектов информационной инфраструктуры (подп. "г" п. 23 Доктрины).

Но Интернет, как отметил Дмитрий Мариничев, невозможно сделать суверенным. А Алексей Волин, в свою очередь, подчеркнул, что, с одной стороны, государство обязано обеспечить цифровой суверенитет: "В любом случае налогоплательщики и избиратели будут спрашивать за бесперебойное функционирование Интернета с государства. Поэтому государство со своей стороны должно предпринимать ряд шагов и действий, направленных на то, чтобы обеспечить устойчивость и безопасность системы". С другой стороны, если речь идет о безопасности самого пользователя, система запретов неприменима: "В подавляющем большинстве случаев, когда перед простым пользователем будет стоять вопрос выбора между запретом или его личным удобством, он сделает выбор в пользу последнего, за тем исключением, когда угроза его безопасности не будет слишком велика".

Что же касается IT-индустрии, и интернет-омбудсмен, и представители отрасли опасаются, что реализация Доктрины может привести к созданию "железного занавеса" и спаду в развитии отечественного рынка информационной безопасности. Но это лишь один из возможных сценариев – все зависит от того, какие подзаконные акты будут приняты по исполнение этого документа.
 



Безопасность критической инфраструктуры

Среди всех недавних инициатив в сфере кибербезопасности, одной из наиболее резонансных стал правительственный законопроект1 о безопасности КИИ. К ней авторы инициативы отнесли совокупность информационных систем и интернет-сетей госорганов, а также тех систем и сетей, которые функционируют в области здравоохранения, транспорта, связи, энергетики, кредитно-финансовой сфере, оборонной, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

В декабре 2016 года упомянутый законопроект был внесен в Госдуму, и 27 января этого года – принят в первом чтении. Документ устанавливает права и обязанности субъектов указанной инфраструктуры, а также полномочия органов власти в сфере обеспечения ее безопасности. За неправомерное воздействие на эту инфраструктуру предлагается привлекать к уголовной ответственности2 в виде лишения свободы на срок до десяти лет.

С одной стороны, документ называют долгожданным и нужным, причем согласны с этим даже представители IT-отрасли. С другой стороны, эксперты отмечают несовершенство текущей редакции законопроекта и настаивают на внесении в него изменений.

В частности, Совет Федерации предложил конкретизировать само понятие КИИ. Нынешняя редакция документа, подчеркнула Людмила Бокова, содержит слишком широкое понятие объектов КИИ, что может помешать применению этого закона на практике – если не скорректировать определение, под действие требований и установленных законопроектом ограничений может попасть практически любая организация.

На текущий момент можно выделить три варианта развития рассматриваемой депутатами инициативы.

1

Пассивный. В данном случае законопроект будет "заморожен" на неопределенный срок или отклонен. "Если мы посмотрим на текущую версию законопроекта, то она далеко не первая3 – с 2006 года уже 11 лет прошло, а мы в очередной раз входим в эту реку. Защита КИИ – важная тема, но эта инициатива обременяет владельцев объектов такой инфраструктуры обязанностью выполнять большое количество организационных и технических мероприятий, которые стоят немалых денег и к которым многие компании не готовы по ряду причин, а число инцидентов-нарушений при этом не так велико. Поэтому одна из версий развития – поговорят и забудут", – считает Алексей Лукацкий. 

2

Активный. Этот сценарий подразумевает активные действия в сфере регулирования КИИ, что, по мнению Лукацкого, приведет к тому, что отечественные представители IT-индустрии окажутся просто неспособны обеспечить необходимый уровень защиты таких объектов, и в итоге IT-рынок схлопнется. "Если мы посмотрим на весь рынок кибербезопасности в России, то увидим, что это около 2 тыс. интеграторов разного масштаба и почти 300 производителей различных средств обеспечения безопасности. А рынок кибербезопасности КИИ занимает 1/10 часть от общего рынка, потому что сфера очень специфическая с гораздо более серьезными требованиями по отказоустойчивости, надежности и бесперебойности функционирования системы", – рассказал он. При этом текущая версия законопроекта относит сведения о мерах защиты объектов КИИ к гостайне. И, по оценке эксперта, допуск к обработке и защите сведений, составляющий гостайну, имеют от силы 10% от тех 10% компаний, которые составляют рынок кибербезопасности. 

Но помимо прогнозируемой неспособности полноценно защитить КИИ есть и другой аспект. Современные объекты КИИ (электростанции, системы управления транспортом, гидротехнические сооружения, крупные банки и др.) взаимодействуют с внешним миром, используя западное оборудование и услуги. "Многие КИИ имеют выход через Интернет к западным подрядчикам, потому что это является частью контракта на поддержку технологического оборудования, поставленного для обслуживания теплопровода, электростанции или того же самого гидрошлюза. Без этого оборудование не продается. Глобализация в области КИИ проникла гораздо глубже, чем нам кажется". В связи с этим возможная изоляция таких объектов может лишь сломать сложившиеся процессы, но не защитить. В качестве альтернативы эксперты предлагают отнести информацию о сведениях защиты КИИ к конфиденциальной, установив определенные требования к тем компаниям, которые будут работать в этой сфере.

3

Компромиссный. Данный сценарий предполагает, что авторы законопроекта прислушаются к поступающим от уполномоченных ведомств и представителей IT-отрасли предложениям и внесут поправки в текст законопроекта. В частности, предлагается: 



привести терминологию к единообразию;



регламентировать создание координирующего органа в области информационной безопасности;



реализовать принципы государственно-частного партнерства. "Около 90% всех КИИ в России принадлежит частному бизнесу, соответственно, без участия владельцев этого бизнеса решить проблему безопасности нельзя", – отметил Алексей Лукацкий;



ввести четкое категорирование с целью определить, кто попадает под требования законопроекта, а кто нет;



установить порядок обмена информации об угрозах и др.

Именно этот вариант развития событий эксперты, включая Алексея Лукацкого, считают наиболее приемлемым.

***

Если посмотреть на все законодательные инициативы в сфере кибербезопасности, реализованные в течение года, можно отметить повышенное внимание к этой проблеме как со стороны законодателя, так и со стороны отрасли. Главное, не забыть о конечной цели и вместо защиты от кибер-угроз не закрыть гражданам и юрлицам доступ к "всемирной паутине" и не создать препятствия для развития отечественного рынка IT-безопасности.