Повышение государственного контроля в сфере защиты данных информационных систем

Практически все сейчас можно сделать через Интернет – назначить встречу, заказать продукты или такси, даже записаться на прием к врачу или получить необходимую справку для получения документов. Однако, не все ресурсы, где мы вводим свои личные данные, могут обеспечить их защиту. В худшем случае, при возможной кибератаке, злоумышленники могут завладеть не только паролями, но и паспортными данными, CVV кодами от банковских карт. Думаю, о критичности дальнейших последствий говорить не стоит.

Однако хотелось бы привести пример из зарубежной практики. В конце 2020 года и начале 2021 года массовым кибератакам через незащищенную часть программы подвергся производитель ПО, компания SolarWinds, а также около 17000 его клиентов. Среди них оказались и ИТ-гиганты: Microsoft и FireEye.

Атака на SolarWinds вызвала большой скандал и показала уязвимость системы безопасности. Помимо ущерба репутации инцидент также мог привести к утечке засекреченных документов.

Администрации судов США заявили, что в результате взлома SolarWinds появился «риск компрометации высокочувствительных непубличных документов, в частности засекреченных». То есть важные данные могли оказаться в руках заинтересованных лиц, неправомерно получивших доступ к этой информации. Такой пример показывает, что без серьезного регулирования данную сферу оставлять просто опасно.

Поэтому сейчас в Российской Федерации необходимо четко разобраться с требованиями к защищенности информационных ресурсов, ввести ответственность за неправомерный доступ к ним и за «сливы данных», а также, по возможности использовать отечественные системы безопасности.

Почему это важно и своевременно?

Сегодня государственные базы данных и автоматизированные информационные системы являются ключевыми элементы в жизни государства и общества. Они позволяют хранить информацию дольше, удобнее и более упорядоченно. В том числе, с их помощью упрощается поиск. Данные в них носят исключительно важное и конфиденциальное значение — эта информация часто не предназначена для свободного обращения. При этом получить эти данные и использовать в своих интересах хотят разные заинтересованные лица и субъекты, например, компании-конкуренты.

Проще говоря, информация важная и востребованная, поэтому за ней необходим жесткий контроль, который бы позволил с одной стороны создавать системы защиты информации, с другой — предупреждать утечки данных.

Именно поэтому я и говорю о том, что нужно учитывать три разных фактора: технический, человеческий и правовой. Это позволит составить скелет структуры обеспечения информационной̆ безопасности.

Давайте посмотрим на следующую уязвимость. С одной стороны у нас есть нормативно правовая база, обеспечивающая информационную безопасность (Федеральный закон №-187 «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации», ст. 14.; Статья УК РФ 274.1). С другой стороны – организации сейчас самостоятельно оценивают важность и секретность информации, что может стать проблемой, так как люди могут не осознавать уровень возможной угрозы.

И так, как субъекты КИИ — это компании, работающие в стратегически важных для государства областях, (здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и т. д.), то такое решение порождает много злоупотреблений со стороны государственных органов.

Получается, что организации сами составляют перечень процессов и оценивают их важность. Таким образом, количество объектов КИИ, которые войдут в перечень, зависит от решения самих организаций.

Почему это происходит?

Если организации примут решение об отнесении используемых ими информационных систем к объектам КИИ, то это повлечет обязанность:

— обеспечить информационную безопасность,

— выполнить ряд технических и организационных обязанностей,

— понести финансовые расходы.

Фактически они могут не относить свои информационные системы, к объектам КИИ, уклоняясь от требований Закона. Но это, в свою очередь, способно причинить большой ущерб защищенности информационных систем, ущерб государственной безопасности Российской Федерации.

Но, честно говоря, на мой взгляд, проблема не только в недобросовестных действиях субъектов критической информационной инфраструкутры. Существуют информационные системы, которые законодательно не относятся к КИИ, но имеют колоссальную важность, например:

— системы электронного голосования,

— видеонаблюдение,

— жилищно-коммунальное хозяйство,

— иные системы больших данных.

Содержащаяся в них информация должна иметь статус охраняемой законом. А неправомерный доступ к ней также должен сопровождаться серьезной ответственностью.

Я считаю, если мы можем учиться на чужих ошибках, то стоит непременно это делать. Не ждать, когда мы столкнемся с очевидными проблемами, а смотреть по сторонам и, в том числе, учитывать иностранный опыт. Технологии и рынок должны продолжать развиваться, а продуманное регулирование – сохранит эффективность и безопасность.