Новые законы: шанс для компаний укрепить защиту персональных данных
Быстро меняющееся законодательство России обязывает бизнес уделять еще больше внимания комплексной защите персональных данных. Итоги недавнего опроса, организованного при участии специалистов «Актион Бухгалтерия», показали: несмотря на названную многими компаниями готовность к новым правилам, почти у всех респондентов сохраняются отдельные недоработки и риски нарушения. Для бизнеса в 2024 году на первый план выходят обязанности по подаче сведений для включения в реестр Роскомнадзора, обучению персонала специфике защиты информации и внедрению современных технологий, а также обеспечение хранения гражданских данных исключительно на территории России — так называемая локализация.
Эксперты отмечают: Российский бизнес — особенно его малые и средние сектора — сталкивается с рядом технических и кадровых вызовов по части соблюдения арсенала новых норм. Заместитель руководителя по инновациям «СерчИнформ» Алексей Парфентьев обращает внимание, что вопрос не в формальных декларациях о безопасности, а в реальной способности компаний внедрять работающие инструменты для защиты информации. По его словам, разрыв между количеством официально зарегистрированных операторов персональных данных и фактическим числом предприятий, обрабатывающих личную информацию, огромен: регистрацию прошли чуть более миллиона юридических лиц, тогда как реально действующих операторов приблизительно в восемь раз больше. Большинство из них, считают аналитики, не всегда ориентируются в актуальных требованиях безопасности персональных данных.
Доступность персональных сведений россиян: насколько велик масштаб проблемы
В обсуждениях экспертов все чаще звучит мысль: подлинная защита информации базируется не на бумажных процедурах, а на внедрении современных технических решений. Проблему иллюстрирует нехватка и квалифицированных айти-кадров в МСП, и грамотных решений на стороне подрядчиков — ведь «дыры» в инфраструктуре могут привести к утечкам даже при наличии регламентов. Одним из эффективных вариантов становится аутсорсинг ИБ. Однако даже в таком случае компании порой сталкиваются с ошибками при сборе, хранении или удалении данных, а основной риск по-прежнему связан с их несанкционированным разглашением или мошенническим использованием. Ярким примером последствий являются случаи, когда люди становятся жертвами мошенников, использующих утекшие данные для хищения денежных средств.
В ответ на усложнение цифровой среды государство значительно повысило размеры штрафов. Нарушения могут обернуться для юридических лиц санкциями от 300 тысяч рублей до 20 миллионов рублей (в особо чувствительных случаях, например, при утечке биометрических данных). При этом многие специалисты — среди них и директор компании «IT-Резерв» Павел Мясоедов — уверены: усиление карательных мер не решает системную проблему безопасности. По его словам, появление новых должностей типа менеджера или директора по персональным данным и рост отчетности отражают скорее тренировку соответствия, чем реальную защиту.
Бюрократия или защита? Баланс интересов и вызовы для МСП
Павел Мясоедов считает, что чрезмерная регулятивная нагрузка отвлекает бизнес от реально важных направлений работы. Вместо комплексного технического апгрейда компании вынуждены тратить время на чистку архивов, пересмотр документов и поддержание множества бумажных отчетов, зачастую не влияющих на уровень защищённости данных. Эксперт уверен: самой болезненной остается проблема устаревшего и несовместимого программного обеспечения, что в совокупности с высокой затратностью внедрения новых технологий особенно тяжело сказывается на небольших и средних предприятиях.
Мясоедов подчеркивает: для дальнейшего развития цифровой культуры необходимо оптимизировать нормативные требования, особенно для компаний небольшого размера. Это могут быть облегчённые административные схемы или внедрение целевых проверок ИБ-практик непосредственно на местах, а не фиксация лишь правильности оформления документов. Такой подход законодательно поддержит настоящую информбезопасность, не ограничиваясь только формальными процедурами.
Громкие инциденты: около 700 миллионов записей в открытом доступе
Публичные сообщения ряда компаний о масштабных утечках стали серьезным поводом для профессиональной дискуссии. Так, в начале 2024 года крупнейший телекоммуникационный игрок объявил о возможном компрометировании персональных данных, связав это с работой подрядчика. В результате в руки злоумышленников могли попасть адреса электронной почты и телефонные номера сотен тысяч россиян. Впоследствии, весной того же года, служба безопасности авторитетного российских автопроизводителя обнаружила незаконный доступ к архивам владельцев автомобилей — речь шла о десятках тысяч записей. Согласно статистике Роскомнадзора, только за прошедший год было отмечено около ста крупных сливов персональных данных, а в сеть попало более 700 миллионов записей — ситуация требует комплексного ответа и взаимодействия всех участников отрасли.
Открытость или молчание о киберинцидентах: что выгоднее бизнесу?
Вопрос публичности информации о кибератаках становится крайне актуальным. Среди экспертов усиливается мнение: своевременное признание факта инцидента и разъяснение ситуации клиентам формируют доверие и ответственность бизнеса перед обществом. Открытость, по мнению ряда специалистов, позволяет быстрее локализовать угрозы, совместно искать решения по предотвращению аналогичных ситуаций в будущем и стать для рынка примером прозрачности. Однако часть компаний опасается: огласка может негативно сказаться на деловой репутации и вызвать отток клиентов. На практике выигрывают те, кто выбрал путь коммуникации с аудиторией и органами контроля, сотрудничая с профильными ведомствами и инвестируя в модернизацию инфраструктуры защиты данных.
Ключевые решения — профессионализация ИБ и партнерство с государством
Для укрепления позиций на российском рынке лидеры ИТ-индустрии и государственные структуры — среди которых Роскомнадзор, «СерчИнформ», «IT-Резерв», представители крупных предприятий — сходятся во мнении: только объединение усилий бизнеса, ИТ-экспертов и законодателей приведёт к формированию прочной системы защиты персональных данных. Особый акцент делается на стимулировании образования ИБ-специалистов, поддержке отечественных решений и внедрении централизованных сервисов реагирования на киберинциденты, как на уровне компаний, так и крупных отраслей.
В ближайшие годы российский бизнес ожидает расширение участия в образовательных и акселерационных проектах, направленных на прокачку цифровой устойчивости. Позитивный настрой преобладает и среди малых предприятий: предприниматели активно ищут аутсорсинговые решения, делятся опытом и готовы к постоянному совершенствованию процессов. Перспективы развития рынка информбезопасности напрямую связаны с тесным взаимодействием бизнеса, ведомств и независимых ИБ-экспертов, что становится залогом надежной цифровой экосистемы в России.
Источник: www.kommersant.ru
