Это общая ответственность государства, бизнеса и граждан
2024 год стал годом особо пристального внимания к информационной безопасности не столько из-за участившихся случаев громких инцидентов, сколько по причине роста числа государственных инициатив в индустрии.
С июня в самых высоких кругах обсуждается создание отдельного ведомства по информационной безопасности, растет внимание к проблеме обучения граждан основам киберграмотности и кибергигиены, национальные приоритеты фокусируются на ценности данных. Об актуальности их защиты, распределении ответственности между бизнесом, государством и гражданами рассказывает Рустэм Хайретдиинов, заместитель генерального директора группы компаний «Гарда».
Цифровизация становится неотъемлемой частью жизни. В результате переноса общественно значимых сервисов в онлайн-пространство, граждане все чаще и в растущих объемах предоставляют персональные данные корпорациям и государству. При этом почти ежедневно мы видим новости об утечках данных и о новых способах мошенничества, жертвами которых становятся социально незащищенные слои населения. В такой ситуации важно определить, на ком лежит ответственность за защиту данных.
Фактически ответственность в первую очередь лежит на владельце той цифровой системы (неважно, бизнес-структуры или государственной организации), которая занимается сбором и обработкой данных. При этом, никто не снимает ответственность и с владельца данных, к которым он может относится легкомысленно, бездумно распространяя их, например, в соцсетях. Государство в целом, как институт, только создает правила игры, поскольку в цифровой экономике данные – ценнейший продукт и важно регулировать их оборот.
Только за первый квартал текущего года в сеть утекла почти половина прошлогоднего объема украденных данных. Компании не спешат предавать огласке случаи кибератак, так как опасаются за свою репутацию. Ситуация осложняется тем, что закон об оборотных штрафах до сих пор не принят, и компании вынуждены готовиться к защите как от киберугроз, так и от возможных санкций.
Бизнесу необходимо понять, с какой целью собираются данные и как их в последствии применять. Контекст обработки данных (цели сбора конкретных данных, вопросы хранения и, например, передачи) поможет выстроить процесс управления ими: где физически, на собственных серверах или в облаках они хранятся, какими приложениями, с какими пользователями, с какими правами они обрабатываются, что происходит с результатами обработки и т.п. После в этот процесс довольно просто можно встроить централизованные технические средства защиты данных на всем протяжении их жизненного цикла: обезличивание (маскирование), шифрование, ролевые модели доступа, мониторинг действий пользования, контроль трафика и другие.
В совершенном обществе государство создает и контролирует правила игры, ИБ-вендоры разрабатывают продукты для защиты информации и методики их применения, а бизнес покупает и внедряет лучшие технические решения согласно успешным практикам. Сегодня это не так. Зачастую крупный бизнес может сам разрабатывать ИБ-решения, конкурируя с традиционными производителями. Государство тоже не отстает, национализируя ИБ-вендоров и таким образом выходя на рынок. В то же время бизнес и ИБ-производители вмешиваются в регулирование, то прося отсрочить какие-то требования, то активно лоббируя изменения в них.
«В связи с текущей геополитической и экономической ситуацией нам предстоит пережить период нестабильности, но необходимо стремиться к достижению идеальной модели, – говорит Рустэм Хайретдинов. – Важно применять комплексный подход к обеспечению безопасности данных, не ограничиваясь только новейшими технологиями или решениями конкретных вендоров, и этот подход должен базироваться на лучших практиках».
Эти лучшие практики обсудили представители власти, корпораций, юристы, специалисты из отрасли информационных технологий, кибербезопасности и медиа на конференции группы компаний «Гарда» «Сохранить все: безопасность информации» 24 октября. Мероприятие прошло при поддержке Минцифры России и ФСТЭК. Партнерами конференции выступили компании «Информзащита», «Инфосистемы Джет», Crosstech Solutions Group, Angara Security, Staffcop, Netwell, Axel Pro, Inline Telecom Solutions, RUSIEM, «Киберхаб Сколково», Servicepipe, группа компаний «ЦИБИТ», «ICL Системные технологии». Технологические партнеры: Yadro и Kvadra.
О компании
Группа компаний «Гарда» – производитель семейства продуктов для защиты данных и сетевой безопасности. Решения «Гарда» применяют в крупнейших государственных организациях и корпорациях, используют для защиты 50% всего российского интернета от DDoS-атак и безопасности цифровых сервисов и мероприятий федерального масштаба. Продуктовый портфель группы компаний построен на основе технологий собственной разработки, которые не требуют сторонних лицензий, включены в Единый реестр российского ПО и сертифицированы ФСТЭК.
