В Беларуси регулярно происходят громкие утечки персональных данных. Клиентские базы известных перевозчиков, интернет-порталов и торговых сетей – лишь верхушка айсберга. На порядок больше количество тех, о ком после взлома не написали в СМИ. В том числе компаний, которые даже не подозревают о том, что данные их клиентов уже в руках злоумышленников.
Центр кибербезопасности hoster.by каждый день фиксирует десятки и сотни случаев потенциально опасных действий на сайтах своих клиентов. А также помогает компаниям приводить свои информационные системы в соответствие с требованиями законодательства по кибербезопасности.
Начальник группы юридического обслуживания hoster.by Наталья Косяк рассказала о самых распространенных в Беларуси типах угроз, о рисках для организаций, а также об особенностях регулирования сферы защиты персональных данных у нас и за рубежом.
– Какие типы киберпреступлений вы фиксируете чаще всего?
– Различные варианты несанкционированного доступа к ресурсам. Например, через подбор паролей или рассылку вредоносных программ. Часто используются уязвимости движков сайтов: с этой проблемой обычно сталкиваются те, кто не любит регулярно обновлять свои системы управления контентом или CMS. Также очень распространен фишинг – имитация веб-ресурсов для получения платежных или других данных пользователей.
– С какими последствиями сталкиваются пострадавшие компании?
– Все по-разному: для кого-то несколько часов простоя бизнеса могут оказаться фатальными. Других «добивает» список исправлений и модификаций, которые они обязаны внедрить после череды проверок. Такие проверки обычно следуют за кибератаками, особенно если речь об утечке персональных данных.
Для кого-то самым дорогим последствием становится потеря репутации. Хотя в какой-то мере белорусские компании чуть менее уязвимы в этом контексте по сравнению с европейскими или американскими.
– Почему? Это связано с особенностями законодательства?
– В том числе. Например, в соответствии с Общим регламентом защиты персональных данных в Европейском союзе (GDPR) организации обязаны сообщать клиентам о произошедшей утечке в течение 3 дней после происшествия. В Беларуси же компании должны информировать Национальный центр защиты персональных данных. Обязательств по информированию клиентов не прописано в законе, хотя негласно они соблюдаются.
Требования публичной огласки нет и в США, как нет и целостного законодательства в области кибербезопасности – там все требования определяются на уровне штата. Но есть возможность предъявления пострадавшими гражданских исков организациям, «потерявшим» их данные. А если пострадавших много, то сумма исков может быть крупнее любых мыслимых штрафов за несоблюдение требований по защите данных.
К слову, в Беларуси также можно требовать возмещения морального вреда, причиненного вследствие нарушения прав, установленных Законом «О защите персональных данных».
– Какие законодательные акты регулируют сферу кибербезопасности в Беларуси?
– Их несколько. Есть Закон «О защите персональных данных» (№ 99-З от 07.05.2021). Он регулирует все отношения, связанные с обработкой таких данных и устанавливает требования к их защите.
- Указ Президента Республики Беларусь № 40 «О кибербезопасности» устанавливает правовую основу для создания и функционирования национальной системы обеспечения кибербезопасности. В том числе формирование механизма противодействия кибератакам.
- Основные принципы, которыми обязаны руководствоваться в своей деятельности все государственные и коммерческие организации, изложены в Постановлении Совета Безопасности от 18.03.2019 № 1 «О Концепции информационной безопасности Республики Беларусь».
- Нельзя не упомянуть Указ Президента Республики Беларусь № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет», который действует уже почти 15 лет. Он регулирует множество аспектов работы байнета, но известен многим своим требованием к компаниям размещать свои сайты и информационные системы исключительно на серверах в РБ. Требование касается веб-ресурсов, с помощью которых реализуются товары или оказываются услуги на территории нашей страны.
- Защита данных, распространение которых ограничено, регулируется Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20.02.2020 № 66.
Есть ряд других положений, но мы упомянули основные, которые в той или иной степени затрагивают всех: физических лиц, бизнес, госкомпании.
– Внушительный список. Наше законодательство в сфере кибербезопасности как-то принципиально отличается от других стран?
– Оно отличается не столько принципами, сколько подходами. В Беларуси он более формализован, все особенности нормативного регулирования жестко задокументированы. Примерно такой же подход существует в России.
В большинстве стран ЕС выработан риск-ориентированный подход к обеспечению безопасности данных. Он основан на оценке их «чувствительности» и базируется на международных стандартах. В частности на ISO/IEC 27001:2013 и ISO/IEC 27005:2018.
Тот же GDPR, который регулирует вопросы защиты персональных данных в Европе, является регламентом, требования которого обязаны соблюдать все страны ЕС при разработке собственного законодательства. Формулировки в регламенте менее формализованы, чем в белорусских законодательных актах, но в GDPR они компенсируются прецедентной практикой.
В целом по вопросам защиты персданных в нашей стране, в России, в ЕС и в США обязательным является получение согласия от каждого лица при сборе их данных. Хотя есть и исключения: например, в Беларуси согласие не потребуется при оформлении трудовых отношений, при наличии договора между пользователем и компанией, при ведении административных и уголовных процессов, исполнении судебных постановлений и т.д. Во всех регионах также есть перечень мер для защиты персональных данных, а также право доступа к своим данным для их исправления.
Среди отличий законодательства в разных регионах – обязательство хранить персональные данные на определенной территории. Так, в Беларуси и России такое требование есть: т.е. белорусские организации и интернет-проекты могут размещать данные клиентов только на серверах, физически размещенных на территории нашей страны. В странах ЕС и США требования не такие жесткие. Например, согласно GDPR данные могут храниться в любой стране ЕС и иных государствах, в которых существует схожий уровень защиты.
– Есть какой-то законодательный минимум, который просто обязан знать каждый, кто ведет бизнес в Беларуси сегодня? Есть ощущение, что знать все аспекты регулирования вопросов кибербезопасности, мягко говоря, затруднительно.
– Минимум мы проговорили сегодня: хостинг на территории Беларуси, обязательные меры по защите персональных данных и т.д. Знать все невозможно и не нужно. Но важно быть внимательным и не откладывать вопросы безопасности на потом.
Как же тогда быть уверенным, что ничего не нарушаешь в данный момент? Самый простой и эффективный способ – решать вопросы работы вашего веб-проекта или информационной системы совместно с хостинг-провайдером. Это связано с тем, что ряд систем необходимо аттестовывать, для каких-то проектов понадобится специальное ПО и т.д.
Самостоятельно учесть все нормативные и технические нюансы по-настоящему нелегко. А провайдеру достаточно подробно изложить, какие у вас задачи и с какими данными вы работаете, а специалисты уже расскажут, нужны ли вам специфические виды хостинга или дополнительные меры защиты.
При необходимости там же вам помогут выстроить, настроить, перенести и протестировать работу вашего проекта. Так вы будете уверены, что в точности выполняете все требования законодательства и не рискуете безопасностью и репутацией.