Всероссийская конференция-семинар «Персональные данные» состоялась 24 сентября 2008 года и собрала большое количество участников и выступающих высокого профессионального уровня от государственных и коммерческих структур. Информация о конференции, подготовленная журналистами портала, размещена по ссылке: http://psj.ru/saver_magazins/detail.php?ID=12894
Настоящее исследование для Всероссийской конференции-семинара призвано выявить текущий уровень защищенности персональных данных в российских компаниях, а также отношение игроков рынка к законодательному регулированию. Для удобства полный текст отчета по результатам исследований разделен на три последовательные части. С разрешения авторов, предлагаем вниманию читателей первую часть отчета об исследовании.
Персональные данные (ПД) клиентов, партнеров и сотрудников являются важнейшим активом любой современной компании и в то же время ее серьезной проблемой. Утечка персональных данных не выгодна ни компании (она испытывает масштабные репутационные потери), ни владельцам этой информации (они испытывают как минимум беспокойство, а нередко становятся и жертвами различных афер).
Персональные данные остро нуждаются в специализированной защите от инсайдеров, хакеров и халатных сотрудников. Эта задача является социально важной, и, в свое время, президент РФ Владимир Путин издал для ее решения федеральный закон, который так и называется: ФЗ «О персональных данных». За первые два года своего существования закон не сумел заработать на практике, однако в последнее время стали наблюдаться активные попытки его возвращения к жизни.
Настоящее исследование призвано выявить текущий уровень защищенности персональных данных в российских компаниях, а также отношение игроков рынка к законодательному регулированию. В рамках исследования будут также приведены прогнозы развития ситуации в течение нескольких ближайших лет и рекомендации для операторов персональных данных.
Данное исследование проводилось в форме онлайн-анкетирования ИТ- и ИБ-специалистов.
В период проведения исследования (с 7 июля по 7 сентября) было опрошено 389 респондентов, представляющих компании различных размеров и отраслей. Перед ответами на основные вопросы исследования респондентам предлагалось рассказать о компаниях, в которых они работают.
Распределение компаний-респондентов по размеру оказалось достаточно равномерным - в нем присутствуют компании малого бизнеса, предприятия среднего размера и крупные корпорации, имеющие более 10 тыс. сотрудников.
Отраслевое распределение, напротив, является очень специфичным. Практически три четверти (72,5%) респондентов представляют всего лишь два вертикальных рынка: финансовую и телекоммуникационную отрасли. С одной стороны, предприятия этих отраслей обрабатывают максимальное количество персональных данных, с другой - именно финансовые и телекомпании всегда являлись пионерами внедрения информационных технологий, а также решений по информационной безопасности. В этом свете совсем не удивителен тот факт, что представители именно таких компаний приняли наиболее активное участие в исследовании.
Из получившегося отраслевого распределения логично сделать два основных вывода.
Во-первых, очевидное смещение в сторону финансовых и телекоммуникационных компаний позволяет получить четкое представление о защищенности персональных данных именно в этих типах организаций.
И, во-вторых, оно дает информацию об общих трендах развития отрасли, поскольку финансовая и телекоммуникационная сферы являются ее основными драйверами.
В рамках исследования были учтены ответы только сотрудников департаментов информационных технологий и информационной безопасности различных организаций. Это означает, что все участники опроса так или иначе задействованы в процессах обработки и защиты персональных данных. Отметим, что подавляющее большинство респондентов (84,6%) участвуют в процессах принятия решений в области информационной безопасности.
Все вопросы, которые задавались респондентам в рамках исследования, можно разделить на две основные части. В первой части участникам опроса предлагалось рассказать об использовании ПД в своих компаниях, а вторая часть была посвящена влиянию различных нормативных актов на степень безопасности персональных данных. В обоих случаях респондентам задавались лишь косвенные и максимально конкретные вопросы, поскольку прямые и комплексные формулировки («Насколько защищены ПД в вашей организации?», «Как влияет федеральный закон на защищенность ПД?» и т.д.) не дают представления об истинном положении вещей и побуждают специалистов давать не всегда объективную оценку. Проблема в том, что каждый конкретный специалист имеет собственное мнение о безопасности, и сравнивать эти мнения друг с другом по дифференцированным критериям технически невозможно.
Внимание каждой компании к проблеме защиты персональных данных напрямую зависит от целого ряда факторов. Первым фактором этого списка является масштаб проблемы - то есть количество обрабатываемых записей персональных данных. С ростом количества персональных записей растут и риски компании, которые с этими записями связаны. Как следствие, чем больше записей обрабатывает компания - тем большую ответственность она несет за их защиту.
Из ответов на следующий вопрос следует, что более чем половина респондентов (52,0%) преодолели «психологическую» отметку в 10 тыс. записей персональных данных. Утечку такого объема информации уже нельзя назвав локальным инцидентом, поскольку она затрагивает количество людей, сравнимое с населением небольшого города. Всем пострадавшим в результате утечки такого масштаба крайне трудно предоставить адекватную защиту, а значит - реальные последствия инцидента практически невозможно проконтролировать.
В особую группу риска попадают организации, обрабатывающие огромные объемы персональных данных, которые измеряются миллионами записей. Таких предприятий в России тоже хватает - их представляют более 15% участников опроса. И если компания, хранящая сведения десятков тысяч людей, еще как-то может полагаться «на авось», не заботясь об адекватной защите, то для крупных компаний такой подход абсолютно неприемлем. Когда становится известным об утечке миллионного масштаба, различные медиаагентства быстро тиражируют новость и распространяют подробности инцидента. Репутация небрежной компании начинает резко падать вниз, что неизбежно приводит к мгновенному падению стоимости акций и долгосрочным потерям в будущем.
Каким образом могут «утекать» персональные данные? По данным мировой статистики по инцидентам, около 90% всех происходящих утечек, так или иначе связаны с действиями персонала. В данном случае речь идет "не только о спланированном инсайде (то есть краже информации), хотя и эта проблема является достаточно серьезной. Кроме инсайда, существует масса других сценариев утечки, большая часть из которых связана с банальной халатностью сотрудников либо с бездействием службы безопасности.
Аналитический центр Perimetrix выделяет пять наиболее стандартных сценариев утечки персональных данных:
· Кража или потеря носителей (ноутбуков) с персональными данными;
· Web-yтечка: случайная публикация персональных данных в общедоступных местах (Интернете или интранете);
· Спланированный инсайд: умышленная кража информации сотрудником, имеющим легальный доступ к ней;
· Бумажная утечка: печать и распространение персональных данных на бумажных носителях;
· Внешний взлом корпоративной сети.
Полученное распределение показывает, что примерно половина отечественных специалистов работает в компаниях, которые уязвимы перед утечками персональных данных. Другими словами, защита этих персональных данных является весьма масштабной проблемой, которая пронизывает все сферы отечественного бизнеса.
Первые четыре сценария являются внутренними угрозами информационной безопасности. Таким образом, риски утечек персональных данных напрямую зависят oт количества людей, имеющих доступ к массивам этой информации.
В идеале доступ к персональным данным должны иметь только сотрудники службы безопасности. На практике такая ситуация встречается очень редко (5,1%) - в большинстве случаев доступ к информации (57,6%) имеет и ИТ-персонал организации.
Таким образом, риски возможной утечки информации значительно увеличиваются, поскольку численность персонала ИТ-департамента заметно выше, а истории про «обиженных сисадминов» давно перестали быть основой для анекдотов и переместились во вполне реальную плоскость.
Впрочем, ИТ-персонал является далеко не единственной угрозой безопасности персональных данных. Достаточно часто (21,9%) доступ к этой информации предоставляется топ-менеджерам, действия которых всегда отличаются повышенным уровнем халатности. Но па практике отсутствие доступа к любым корпоративным сведениям вызывает негодование со стороны руководителей. И, избегая конфликтных ситуаций, ИТ - и ИБ-специалисты нередко предоставляют начальникам полный доступ. Кроме того, определенные опасения вызывают сотрудники аналитических служб, имеющие доступ к персональным данным в 18,5% случаев. Тогда как для данной категории работников, в большинстве случаев, вполне достаточно было бы обезличенных статистических выборок.
Отдельного внимания заслуживают службы технической поддержки и контактные центры. Эти подразделения, как правило, комплектуются не самыми квалифицированными сотрудниками и обладают высоким уровнем текучки кадров. При этом операторы контактных центров практически всегда имеют доступ к персональным данным, которые необходимы им для обслуживания клиентов.
Исследование показало, что сотрудники технической поддержки и call-центров сравнительно редко (10,3% случаев) получают доступ к массивам персональных данных. Они могут посмотреть конкретные записи персональных данных «по запросу», но не обладают правами для действий с базами конфиденциальных сведений. Это означает, что угроза утечки из контактного центра все же существует, однако не является слишком опасной - украсть большое количество информации посредством единичных запросов весьма проблематично (хотя и такие случаи известны). В данном случае уместнее говорить не об угрозе утечек персональных сведений, а о возможной слежке за конкретными людьми и предоставлении информации о них за определенную плату.
(Продолжение следует)