Во всем мире 28 января отмечается Международный день защиты персональных данных. Для нашего времени дата весьма актуальна: многие считают, что в век высоких технологий такая «роскошь», как приватность, давно утрачена. Смартфоны знают о нас все: где мы находимся, с кем общаемся, как проводим досуг, какие подарки дарим родным на праздники, какие мы используем пароли от почты, соцсетей и банковских карт. В принципе все эти сведения помогают гаджетам обеспечивать наш бытовой комфорт: делать покупки в один клик, найти близлежащее кафе и так далее. Опасность в том, что эта информация легко может попасть в чужие руки. Предотвратить это — задача государства.
Частное. Строго конфиденциально
Российское законодательство определяет персональные данные как любую информацию, которая прямо или косвенно относится к определенному или определяемому человеку. И защита этих данных входит в число государственных забот. Потому что право на неприкосновенность частной жизни и тайну переписки нам гарантировано Конституцией.
Исполнению этой гарантии посвящен Федеральный закон «О персональных данных», который вступил в силу в январе 2007 года. Он устанавливает правила игры для всех компаний и учреждений, использующих в своей работе личные данные клиентов. На этих операторов персональных данных закон налагает ряд обязанностей и ограничений, за исполнением которых следит Роскомнадзор. Например, он будет проверять, с какой целью компания собирает личные данные, в каком количестве, что с ними делает, как и сколько хранит сведений, получает ли согласие на их обработку персональных и так далее.
Категории персональных данных по уровню их защищенности IV категория — данные обезличены или общедоступны; III категория — данные позволяют идентифицировать человека; II категория — данные позволяют идентифицировать человека и получить о нем дополнительную информацию (кроме обезличенных и общедоступных); I категория — данные касаются расовой и национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья, интимной жизни. Ключевое требование: обработка персональных данных и их объем должны отвечать целям, для которых они собирались. Например, фирма по доставке еды может запрашивать адреса клиентов, а вот знать, где и кем они работают, ей совершенно ни к чему.
Одна из основных обязанностей операторов — применять правовые, организационные и технические меры по защите данных от неправомерного или случайного доступа к ним третьих лиц. Также операторы должны заботиться о том, чтобы эти данные не были изменены, заблокированы, опубликованы — в общем, чтобы они надежно хранились в том виде, в каком были собраны.
Меры защиты данных определяют от четырех уровней их защищенности, которые присваиваются в зависимости от категории сведений, количества субъектов (больше или меньше 100 тысяч), актуальных угроз и других факторов. От этого принимается набор мер и средств защиты персональных данных, которые устанавливает Правительство. Чем выше уровень, тем больше требований.
Операторам, работающим с данными первых трех уровней, обязательно нужно получить лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на деятельность по технической защите конфиденциальности информации.
Все персональные данные россиян должны храниться только на территории нашей страны. Как пояснял заместитель руководителя Аппарата Правительства РФ, ранее — глава Комитета Госдумы по информационной политике, информационным технологиям и связи Леонид Левин, эта норма позволяет гарантировать работу сервисов в случае внешних воздействий. В начале декабря прошлого года был принят закон, ужесточивший наказание за нарушение этого и других требований к хранению и накоплению данных. Для юридических лиц, например, штраф составит от одного до шести миллионов рублей, а за повторное нарушение возрастет до 18 миллионов.
Одновременно с Законом «О персональных данных» в июле 2006 года в России принят еще один профильный закон «Об информации, информационных технологиях и о защите информации», где собраны все базовые понятия этой сферы. Но в большей степени он сосредоточен на регулировании доступа и оборота информации, например по обработке сведений новостными агрегаторами, по праву получения от госорганов информации, затрагивающей права и свободы граждан.
Закон классифицирует информацию на общедоступную и ограниченного доступа. Первая — это общеизвестные сведения и данные, доступ к которым неограничен. Сюда относится в том числе информация из открытых страниц соцсетей. Согласно закону, обладатель общедоступной информации вправе требовать от распространителей указывать себя в качестве источника. Закон также перечисляет, к каким сведениям доступ в принципе не может быть ограничен. Это нормативные акты, сведения о работе государственных органов, данные о состоянии окружающей среды и так далее.
100 тысяч россиян были атакованы вирусами типа «троянского коня» за первое полугодие 2019 года, сообщила «Лаборатория Касперского».Такие программы извлекают данные, в том числе пароли от аккаунтов и платежных карт, прямо из браузеров. 10 миллионов видов компьютерных вирусов известно сегодня специалистам в сфере кибербезопасности. К информации ограниченного доступа относятся персональные данные, а также сведения, представляющие коммерческую, профессиональную и служебную тайну. Соблюдение конфиденциальности сведений ограниченного доступа обязательно.
Общее. ГосСОПКА защитит от эпидемий
За последние пять лет атаки на крупные компании и городскую инфраструктуру участились. Чаще всего хакеры используют так называемые вирусы-вымогатели: вредоносные программы, которые шифруют файлы на жестких дисках и показывают сообщение с требованием заплатить за возврат доступа к системе либо за то, чтобы информацию в ней не удалили или, наоборот, не выставили на публичное обозрение.
По данным исследовательской компании Cybersecurity Ventures, в 2019 году «вирусы-вымогатели» атаковали компании по всему миру раз в 11 секунд. В декабре с помощью такого зловреда были атакованы компьютерные системы Нового Орлеана (США), из-за чего власти объявили в городе чрезвычайное положение.
Эксперты отмечают, что чаще всего компьютерные атаки направлены на правительственные структуры. На втором месте — промышленные предприятия, на третьем – здравоохранение. Поэтому безопасность IT-инфраструктуры, которая обеспечивает работу значимых отраслей, является одним из приоритетов государства.
В российском законодательстве есть понятие «критическая информационная инфраструктура» (КИИ). К ней относятся автоматизированные системы управления, компьютерные программы, локальные и интернет-сети — в общем, вся «электроника», необходимая для работы различных структур, от которых зависит жизнеобеспечение городов, регионов и всей страны. Субъекты КИИ — это госорганы, промышленность и жизненно важные отрасли, среди которых здравоохранение, транспорт, связь, энергетика, банковский сектор и наука.
Защита объектов КИИ от компьютерных атак возложена на их владельцев или арендаторов — государственные органы и учреждения, а также отечественные компании и ИП, которым на законном основании принадлежат такие объекты или они обеспечивают их взаимодействие.
Системы безопасности КИИ должны предотвращать неправомерный доступ, уничтожение или изменение информации, которую обрабатывает объект, а также воздействие на его технику. Также они обязательно должны подключиться к Государственной системе обнаружения и предотвращения компьютерных атак (ГосСОПКА).
Концепция ГосСОПКА предполагает централизованное противодействие кибератакам. Любой объект КИИ, который столкнулся с хакерской атакой, обязан сообщить в систему об инциденте, а также о предотвращении или обезвреживании атаки. Все данные аккумулируются в созданном ФСБ Национальном координационном центре по компьютерным инцидентам (НКЦКИ). А оттуда информация и методические указания передаются всем остальным организациям, которые подключены к ГосСОПКА. Такая система позволяет централизованно и согласованно реагировать на угрозы.
Создание этой системы было заложено одноименным указом президента страны в 2013 году и продолжено указом, вобравшим часть предыдущих норм. В январе 2018 года вступил в силу и Федеральный закон «О безопасности критической информационной инфраструктуры РФ», где установлены принципы защиты КИИ, в том числе заложен приоритет предотвращения атак. Закон также определил категории объектов КИИ — они зависят от их социальной, политической, экономической, экологической и оборонной значимости.
Самый обсуждаемый закон, который призван защитить отечественное интернет-пространство от внешних посягательств, вступил в силу совсем недавно — 1 ноября 2019 года (так называемый закон о суверенном Рунете). Он прописывает технический сценарий на случай, если российским операторам связи закроют доступ к зарубежным серверам – тогда они просто переключатся на внутреннее оборудование и Рунет продолжит работать. Пользователи при этом ничего не заметят – они смогут по-прежнему заходить на свои страницы в Facebook или Instagram, пользоваться YouTube и делать покупки в зарубежных интернет-магазинах. Проще говоря, создается дублирующая, резервная инфраструктура, куда и будет перенаправлен трафик, если специализированный центр мониторинга угроз, созданный при Роскомнадзоре, выявит сбой.
«За последние годы выявлено и получило фактическое подтверждение то, что хакерские атаки носят системный характер не только на коммерческие сервисы, но и на государственную инфраструктуру. Поэтому для нас крайне важно, чтобы российские пользователи могли независимо от каких-либо сбоев за пределами нашей страны иметь возможность стабильно и в высоком качестве получать доступ в Интернет», — отметил Леонид Левин.
Кстати. Как «удалиться» из Интернета
С 2016 года у россиян появилось «право на забвение»: они могут потребовать от оператора поисковой системы не выдавать ссылки на сайты с информацией о них. Поисковик может удалить ссылки после подтверждения личности и изучения аргументов заявителя. Весомыми являются такие: информация о человеке распространяется с нарушением российских законов, она неактуальна или утратила значение для заявителя. Если же данные содержат признаки уголовно наказуемых деяний, их не удалят, по крайней мере, до истечения срока привлечения к ответственности.