10 февраля в Центре кибербезопасности «Ростелеком-Солар» прошло выездное заседание комитета Государственной Думы по информационной политике, информационным технологиям и связи на тему «Безопасность граждан и их персональных данных в информационной среде». Участники поддержали необходимость повышения ответственности за утечки и незаконный оборот персональных данных (ПД) через создание сбалансированных мер экономического воздействия на операторов таких данных.
В работе выездного заседания приняли участие: председатель комитета Госдумы Александр Хинштейн, министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев, президент «Ростелекома» Михаил Осеевский, старший вице-президент по информационной безопасности «Ростелекома» — генеральный директор «Ростелеком-Солар» Игорь Ляпунов, а также представители ФСТЭК, ФСБ России и Роскомнадзора.
В самом начале мероприятия глава Минцифры Максут Шадаев рассказал о запуске программы стресс-тестирования Госуслуг и ЕСИА, которое в том числе должно упредить технические возможности для утечки ПД: «Сегодня мы вместе с компанией “Ростелеком“ объявляем большую программу публичного поиска уязвимостей — баг-баунти, в которой может принять участие широкий круг айтишников. Компания в случае нахождения уязвимости будет выплачивать достаточно серьезное финансовое вознаграждение, которое зависит от уровня ее критичности».
На заседании комитета Госдумы был представлен анализ статистики утечек персональных данных за 2022 год. Рассмотрены предложения по повышению защиты ПД, включая проведение независимого аудита состояния информационной безопасности организаций, ужесточение ответственности за утечку персональных данных, а также ряд других актуальных мер.
Председатель комитета Госдумы по информационной политике, ИТ и связи Александр Хинштейн подчеркнул, что вопрос защиты пользовательских данных имеет основополагающее значение для государства. Развитие цифровой среды влечет за собой увеличение объема ПД, и только гарантируя безопасность пользователей, можно говорить об устойчивом развитии и технологическом лидерстве страны. «Мы сегодня живем в условиях необъявленной кибервойны. Я рад, что цели злоумышленников не достигнуты. Для нас самым важным было получить от мероприятия практический результат — понять, требуются ли законодательные изменения, чтобы работа по защите цифрового контура нашей страны велась максимально эффективно», — отметил Александр Хинштейн.
«В 2022 году всем цифровым компаниям пришлось работать в условиях беспрецедентной кибервойны. Интенсивность и сложность атак на ИТ-инфраструктуру страны из-за рубежа возросли многократно. Однако мы не сломались. Несмотря на все усилия, нам общими усилиями удалось обеспечить устойчивость критической информационной инфраструктуры и стабильность оказания цифровых сервисов. Гигантские усилия киберпреступники приложили к хищению персональных данных. Особых успехов им достичь не удалось, но с помощью разного рода манипуляций они раздували масштаб “достижений” и якобы нанесенного ущерба. Мы научились быстро распознавать эти фейки и не тратить на них время. В целом, уроки прошлого года в сфере информационной безопасности сделали нас более сильными, опытными, стрессоустойчивыми, готовыми к любым неожиданностям», — подчеркнул Михаил Осеевский
Заместитель директора ФСТЭК России Виталий Лютиков указал на то, что более 80% инцидентов с конфиденциальными данными происходит в результате ошибок пользователей или из-за неприменения компаниями необходимых средств защиты. Организациям необходимо выстраивать рискориентированную защиту, исходя из угроз. Предстоит найти сбалансированное решение между высокой защищенностью и стоимостью технических средств. Также было отмечено, что значительная часть проникновений в организации происходит через подрядчиков, а в случае с государственными информационными ресурсами — через участников разработки и функционирования государственных ИТ-систем. Требования по информационной безопасности сегодня к этим подрядчикам не установлены, из-за чего возникает проблема с их привлечением к ответственности. Предложение по определению требований обеспечения безопасности государственных информационных систем вне зависимости от того, где их информационная инфраструктура расположена, уже подготовлено.
Подводя итоги заседания, участники отметили, что тема оборота и защиты персональных данных очень чувствительная и всегда должна быть в фокусе внимания законодателей. Необходимо усиливать направления нормативного регулирования, связанные с защитой объектов критической информационной инфраструктуры, где в том числе обрабатываются персональные данные, а также заниматься развитием отраслевого регулирования по этой тематике, которая бы учитывала соответствующую специфику.