Российские чиновники, депутаты Госдумы, эксперты, представители РКН и ФСБ обсудили в Центре кибербезопасности «Ростелеком-Солар» вопрос о повышении ответственности за утечки и незаконный оборот персональных данных (ПД) пользователей. Заседание проходило в формате выездного заседания комитета по информполитике, ИТ и связи нижней палаты парламента.
Выходом из ситуации с утечками могло бы стать создание сбалансированных мер экономического воздействия на операторов таких данных, согласились участники встречи. Они сочли необходимым усиление направлений нормативного регулирования, связанных с защитой объектов критической информационной инфраструктуры, где в том числе обрабатываются ПД. Рассматривались предложения по повышению защиты данных пользователей, включая независимый аудит состояния информационной безопасности организаций и ужесточение ответственности за утечку ПД.
На заседании также говорилось о том, что значительная часть проникновений в организации происходит через подрядчиков, а в случае с государственными информационными ресурсами — через участников разработки и функционирования государственных ИТ-систем. Из-за того, что на сегодня нет требований к подрядчикам по информационной безопасности, возникает проблема с их привлечением к ответственности. Во избежание этого подготовлено предложение по определению требований обеспечения безопасности государственных информационных систем вне зависимости от того, где расположена их информационная инфраструктура.
«Мы сегодня живем в условиях необъявленной кибервойны. Я рад, что цели злоумышленников не достигнуты. Для нас самым важным было получить от мероприятия практический результат – понять, требуются ли законодательные изменения, чтобы работа по защите цифрового контура нашей страны велась максимально эффективно», — сказал глава комитета Госдумы по информполитике Александр Хинштейн.
По словам главы Минцифры Максута Шадаева, для упреждения утечек будет работать программа стресс-тестирования Госуслуг и ЕСИА. «Сегодня мы вместе с компанией “Ростелеком“ объявляем большую программу публичного поиска уязвимостей — баг-баунти, в которой может принять участие широкий круг айтишников. “Ростелеком” в случае нахождения уязвимости будет выплачивать достаточно серьезное финансовое вознаграждение, которое зависит от уровня ее критичности», – сообщил министр.
Как отметил президент «Ростелекома» Михаил Осеевский, киберпреступникам не удалось достичь особых успехов в попытках украсть персональные данные. Злоумышленники с помощью разного рода манипуляций раздували масштаб «достижений» и якобы нанесенного ущерба, но российские специалисты научились быстро распознавать эти фейки и не тратить на них время. Хакеры пытаются «переупаковывать» ранее утекшие в Сеть данные, выдавая их за новые, в том числе с целью давления на бизнес и дестабилизации ситуации в стране, добавил старший вице-президент по информационной безопасности «Ростелекома» – генеральный директор «Ростелеком-Солар» Игорь Ляпунов. При этом, по его словам, источник большинства утекающих массивов данных сложно однозначно идентифицировать, это мешает расследованиям инцидентов.
В Федеральной службе по техническому и экспортному контролю призвали компании выстраивать рискоориентированную защиту, исходя из угроз. Бизнесу предстоит найти сбалансированное решение между высокой защищенностью и стоимостью технических средств, сказал замдиректора ФСТЭК Виталий Лютиков.