/Журнал «Банковское обозрение»/ Перефразируя Маркса, можно сказать, что за 300% прибыли мошенник не остановится ни перед чем. Такой печальный вывод сделали участники «банковского» круглого стола в рамках Инфофорум-21, обсуждая тему персональных данных (ПДн).
Южную Корею, как и весь мир, потрясла новость о том, как в середине весны 2020 года один-единственный «суперраспространитель» стал причиной второй волны COVID-19 в этой стране. В ночь с 1 на 2 мая 29-летний кореец посетил пять клубов и бар, а вечером 2 мая у него появились признаки коронавируса. В итоге было выявлено как минимум 87 инфицированных им человек.
С точки зрения экспертов в области ИБ, этот случай стал «шикарным кейсом» того, как во благо людей, подвергшихся опасности заражения, власти пренебрегли нормами местного закона, защищающего персональные данные. Были вычислены все те, кто могли контактировать с «суперраспространителем». В ход пошли данные сотовых операторов и карточных транзакций, геометки приложений со смартфонов, видеоаналитика и т.д. Все то, что не должно было использоваться без согласия владельца персональных данных, было использовано с благой целью: предупредить потенциальных жертв об опасности. В своем большинстве они сказали за это властям спасибо. Но при этом закон-то был нарушен…
ПАНДЕМИЯ НЕ ВИНОВАТА
И вот уже в Москве 5 февраля 2021 года в ходе «банковского» круглого стола «Финцифра-21: Киберустойчивость и конфиденциальность персональных данных в цифровую эпоху» в рамках Инфофорума-21 его ведущий Тимур Аитов, представляющий Совет по финансово-промышленной и инвестиционной политике ТПП РФ, имея в виду этот и множество других кейсов, поставил на рассмотрение вопрос об актуальности отечественного ФЗ-152 «О персональных данных».
Для дискуссии были приглашены: Андрей Курило, заведующий кафедрой «Менеджмент и бизнес» Московского государственного лингвистического университета (МГЛУ); Валерий Комаров, начальник отдела обеспечения осведомленности управления ИБ Департамента IT г. Москвы; Василий Окулесский, заместитель начальника службы ИБ банка «Возрождение», а также Аркадий Затуловский, Артем Калашников и Алексей Плешков — независимые эксперты.
Участники дискуссии быстро пришли к выводу, что всплеск интереса общества к проблеме массовой утраты персональными данными своей конфиденциальности на волне бума кибермошенничества, включая социальную инженерию, случился не вдруг. За этим стоит множество факторов, в том числе несовершенство законодательства.
По словам Василия Окулесского, нельзя говорить о том, что какое-то конкретное событие последнего времени стало триггером, спровоцировавшим взрыв преступности в интернете (и не только). Тренды развития киберандеграунда в итоге сошлись в одной временной точке вне зависимости от воздействия на них пандемии, ставшей катализатором, но не триггером. Тренды определялись развитием экосистем, цифровизацией банков, государственных сервисов и т.д., а вот в основе этих трендов находятся технологии, которые проникли практически во все виды деятельности человека и стали основополагающими.
Появившейся возможностью использования плодов технологической революции в корыстных целях, например дистанционной авторизацией, воспользовались и преступники. Важный вывод: мошенники начинают пользоваться открывшимися возможностями гораздо раньше, чем общество готово оценивать соответствующие риски. Это в полной мере касается околоковидной тематики в условиях пандемии, включая атаки на компьютеры удаленных сотрудников.
«На что повлияла пандемия, так это на технологии обработки информации в связи с массовым изменением образа жизни населения. У человека возникает в этой связи ситуация, когда с него запрашивают конфиденциальную информацию в рамках привычных ему бизнес-процессов, но в необычном дистанционном формате общения. Этот дискомфорт, естественно, вызывает страх. И вот этой эмоцией — чувством незащищенности — научились пользоваться мошенники», — уточнил Валерий Комаров.
Ну а «контрольный выстрел» произвел Аркадий Затуловский, напомнивший слова Карла Маркса о том, что за 300% прибыли капиталист не остановится ни перед чем. А технологии и их уязвимости дают мошенникам такую возможность.
ОКОЛОНУЛЕВОЙ РЕЗУЛЬТАТ
Ладно бы преступность, но ведь и разные государства повели неоднозначно по отношению к персональным данным в ситуации пандемии, что ярко показал кейс в Южной Корее. По мнению Аркадия Затуловского, данный случай наглядно демонстрирует, что защита ПДн — популизм. Люди добровольно отдают в публичную сферу посредством социальных сетей и других цифровых сервисов массу данных как о самих себе, так и порой о расположении военных баз, вокруг которых они совершают утренние пробежки. На основе фактов кражи конфиденциальной информации из разных баз данных эксперт делает вывод: «Законы о персональных данных в целом не работают! А если возникает какая-то экстраординарная ситуация, то люди вовсе забывают о них и занимаются более серьезными проблемами».
«Так что же нам, создать два закона о персональных данных: один — на мирное время, а другой — для таких вот ситуаций? Или требуется внести изменения в существующий нормативный акт, чтобы он наконец заработал?», — обратился к аудитории Тимур Аитов, обостряя ход дискуссии.
Аркадий Затуловский высказался в том духе, что ФЗ-152 — вполне «приличный» закон, требующий правок лишь в области трактовки самого термина «персональные данные». Также спикер отметил: «Необходима серьезная борьба с теми, кто нарушает закон! А для экстренного регулирования в ограниченные периоды времени наподобие текущей пандемии к Закону (о ПДн) необходимы поправки, которые “что-то допускают и кому-то позволяют”».
А вот Андрей Курило, очевидно, имея в виду корейский кейс, высказался гораздо резче коллеги: «Использование данных подобных транзакций — совершенно нормальное явление, и нарушения конфиденциальности никакого нет. Когда стало понятно, что на кону стоят жизни и здоровье людей, власти отработали как надо, а люди им еще спасибо сказали. Из этого следует только то, что сущность понятий “конфиденциальность” и “персональные данные” нормально не проработана ни философски, ни юридически».
Спикер как участник разработки некоторых версий ФЗ-152 в этой связи признался: «Основные баталии изначально разворачивались вокруг понятия “персональные данные”. И за последние 12 лет прогресса здесь нет. При этом конфиденциальность — не самоцель, это инструмент обеспечения какого-то блага или предотвращения ущерба. Не более того. А в Законе можно обнаружить массу изъятий, позволяющих передавать данные длинному списку получателей. И никто не бьет тревогу. А мы тут переживаем за Корею. Задача в том, чтобы при обработке этих ПДн не нанести ущерб обществу. Для этого необходимо понять, какое именно общество мы строим!».
А конкретно на поставленный ранее Тимуром Аитовым вопрос Андрей Курило ответил: «Думаю, что ФЗ-152 не решал, не решает и не решит проблему по массе причин». Он назвал проблему определений, формальный характер Закона, наличие классического бюрократического процесса при его исполнении с околонулевым результатом, а главное — то, что в нем не предусмотрена ответственность за разглашение персональных данных, не говоря уже о хищениях. Поэтому информации только из открытых источников зачастую достаточно для определения личности человека.
Андрей Курило дал следующий рецепт: «Речь надо вести о расширении законодательства. Оно должно предусматривать наличие Закона о защите баз данных, устанавливающего жесткую ответственность за хищения из них. Должен быть и Закон о собственно персональных данных, и должны появиться соответствующие статьи в уголовном кодексе».
Василий Окулесский предложил не забывать о методологических проблемах, связанных с процессом обработки ПДн: «Необходимо четко указывать состав данных, цель обработки и сроки. При этом в каждой IT-системе этот стандартный набор должен определять свой собственный набор данных, что позволит четко говорить о том, в какой системе какие данные должны защищаться. Иначе имеем расплывчатое определение в Законе, которое относится ко всему сразу, а в каждой конкретной IT-системе нельзя выделить объект защиты. Значит, нет и его нарушений, и нет предмета преступления. Поэтому Закон надо менять в том смысле, что не бывает персональных данных вообще, а только в контексте конкретной области их применения. А пока это игра даже не с нулевым, а с отрицательным результатом».
Алексей Плешков согласился с тем, что Закон необходимо менять, и назвал две причины для этого: «Во-первых, определение персональных данных устарело и осталось на уровне 2006 года. На тот момент большинство идентифицирующих признаков ПДн было понятно и традиционно. А сегодня эти признаки изменились и по большей части стали цифровыми, что в явном виде в Законе не отражено. Во-вторых, требуется уточнить контекст применения ПДн. От этого зависит то, под какое регулирование эти данные подпадают: о связи, о банковской тайне и т.д. Кроме того, есть вопросы к положениям, регулирующим предоставление ПДн по запросу третьим лицам, в частности регуляторам».
Валерий Комаров категорически не согласился с тем, что государство никак не борется с «пробивальщиками» ПДн в банках, операторах связи и других объектах, подпадающих под критерии критической информационной инфраструктуры РФ (КИИ). Как говорится, «посадки есть».
Правоохранительные органы в последние два года активно «работают» по нерадивым работникам таких организаций и доводят дела до суда с последующими обвинительными приговорами. ФСБ квалифицирует такие действия работников операторов связи как нанесение вреда КИИ и применяет ст. 274.1 УК РФ. Сотрудники МВД квалифицируют такие действия по классическим ст. 272–274 УК РФ (о компьютерных преступленияx), в том числе и при выявлении преступников в своих рядах.
Сейчас скорее необходимо обобщить проблемы правоохранительных органов и спецслужб, которые иногда мешают им применять на практике уже имеющиеся статьи.
ЕСЛИ ГОВОРИТЬ ВООБЩЕ, А НЕ КОНКРЕТНО
Модератор предложил оценить, насколько полезными могли бы оказаться западные практики, например европейский GDPR, чтобы попытаться разобраться в том, как, например, совместными усилиями отслеживать цепочки распространения инфекции. Что для этого нужно изменить в ФЗ-152?
Алексей Плешков согласился с Тимуром Аитовым, что гармонизация отечественного законодательства с GDPR (Общим положением ЕС о защите данных) и актами других стран — «поступательный процесс», но при этом Россия, как это обычно бывает, «долго запрягает, но быстро едет». На практике это означает то, что некоторые положения GDPR, несомненно, будут имплементированы в наш ФЗ-152, но позже.
После этого модератор обратился к Александру Затуловскому с закономерным вопросом: «А вы один, оказывается, не хотите изменений в ФЗ-152»?
Но банкир стоял на своем: «Любые улучшения законов, будучи сами по себе вещью неплохой, не всегда приводят к поставленной цели. И если говорить вообще, а не конкретно, то надо четко понимать, какая у нас цель, как ее достичь и какие приоритеты. А основной из них — усиление борьбы с теми, кто торгует персональными данными».
По словам спикера, у нас два выхода: «Либо мы пишем шикарный, классный Закон, который никто не будет выполнять, либо пытаемся сделать так, чтобы хотя бы существующий Закон исполнялся».
Попытаться поставить некую промежуточную точку в дискуссии по ФЗ-152 Тимур Аитов попросил Артема Калашникова. Эксперт ответил коротко: «Возможно, надо». А позже развил свою мысль: «Помимо изменения Закона необходимо создать некие механизмы его исполнения. Но и этого мало. Ведь есть третья “пострадавшая” сторона: граждане, которые сами раскидывают свои данные по социальным сетям. Так что “течет” не только из банков, а отовсюду. Поэтому изменение законодательства — это триединая задача с инструментарием, способным быстро меняться и адаптироваться под быстро меняющийся мир».
ПРОДОЛЖЕНИЮ ДИСКУССИИ БЫТЬ!
Поднятые ранее темы «равнения на строгие нормы GDPR», следования европейским правилам контроля перемещения инфицированных лиц, страха населения перед перспективой утечек данных из ЕБС, запуска проекта «Цифровой профиль» и цифрового рубля не позволили на этом завершить работу «банковского» круглого стола. Обсуждение продолжилось.
«Б.О» планирует собрать мнения участников, а также выяснить, почему один из них заявил: «GDPR — это символ популизма!», на основании чего принцип Privacy by Design у нас в стране может так и остаться на уровне концепции. Кроме того, мы планируем выяснить, как получилось, что цифровые платформы готовы отключить целые страны от своих услуг, и что делать нам всем в условиях «деанонимизации» всего и вся!
Источник: Журнал «Банковское обозрение»
