Кража личности со взломом

Преступление возможно при недостаточной защите персональных данных – полисы, кредитная история, сведения об образовании и даже награды – все это в сеть у наших коллег за рубежом выложено. Злоумышленник завладевает информацией путем мошенничества или взлома, а потом фальсифицирует документы.  У нас пока с охватом граждан сетью Интернет не так хорошо, да самих документов в сети в десятки раз меньше. Но в будущем кибердвойники и у нас появятся, уверен. А что? Денег у россиян немного, но персональные данные у каждого украсть можно. Учитывая нерасторопность правоохранительных органов, последствия Identity theft  в России могут быть шире и разнообразнее.

Такие мысли приходят на ум на многочисленных семинарах и круглых столах по защите персональных данных, которые проходят в избытке. Обсуждают, как улучшить известный закон в связи с полученной годовой отсрочкой – за перенос сроков депутат Анатолий Аксаков выступил. Тон дискуссий на мероприятиях разный. Одни считают закон "О персональных данных" запутанным и невыполнимым, другие – уже из числа ИТ-консалтеров – полагают вопрос ясным и решенным. Для ИТ-консалтеров аудит это бизнес. Примерно 102 000 владельцев информационных систем с персональными данными (ИСПДн) уже записались в реестр Роскомнадзора, всего их по оценкам в стране около 200 тыс., а, может, и больше.

По словам  замначальника управления по защите прав субъектов персональных данных Виктора Явного в Роскомнадзор каждую неделю поступает 300-400 уведомлений.  Огромный рынок ожидается - новая отрасль народного хозяйства - проверок, контролирования, аудита и наказания виновных в утечках. С большим объемом финансирования. Пройти аудит даже для небольшой компании дело затратное, а серьезная проверка многофилиального банка выльется, этак, в полмиллиона долларов – с учетом закупки оборудования и ПО для защиты. Депутат Владислав Резник пересчитал затраты на защиту персональных данных на всю страну и получил огромную цифру в 4-6% ВВП.

Будет ли результат работы? Вопрос не праздный. И разговоры по мобильным телефонам подорожают, и за тот же полис ОСАГО заплатить больше придется – а как же иначе, страховщикам на защиту данных потратиться придется. Крупные государственные  ИСПДн обеспечивали заметные  утечки в прошлом -  их защита на наши плечи ляжет - остается только надеяться, что деньги потратят не зря. Важны и мелкие ИСПДн - школы, поликлиники, ДЭЗы. Защитить персональные данные здесь обязаны, но получить такие услуги гражданин пока не может -  организации полностью не готовы к новому закону.  Наиболее четкая позиция в вопросе персональных данных у банковского бизнеса: будем хранить, как и раньше это делали – агитировать за это не нужно.

Саму защиту данных считать конкурентным преимуществом: хочет клиент свои вклады и данные лучше защитить, идет в "дорогой" банк, с самой надежной защитой ИСПДн. А кому и хранить нечего, или тратить на защиту не хочется по причинам экономии – можно и в банк подешевле пойти – выбор клиенту тоже необходим. За возможный ущерб нести ответ перед клиентом. Примерно так рассуждают банки и свою модель введения новых отраслевых стандартов предложили – на основе саморегулируемых организаций, добровольно взявшихся рекомендации Центробанка по защите персональных данных выполнять.

Решим ли проблему защиты целиком, даже самым хорошим новым законом? Существует масса источников потерь и компрометации данных, которые этими источниками и были до принятия закона, и таковыми остаются сегодня. Закон как бы не для них. Это и платежные системы - небанковские, различные системы электронных денег, которые уже паспорта у наших граждан собрали, но не имеют ни средств для защиты, ни желания этого делать. Социальные сети – тоже кладезь персональной информации - зашел в ОДНОКЛАССНИКИ или ВКОНТАКТЕ и быстро получил материал по краже личности и созданию киберкопии.

Что печально - многие, создавая свой профиль в сети, даже не ограничивают доступ к нему посторонних людей. Особое отношение к инвенторным системам - они содержат персональные данные граждан в виде PNR (Passenger Name Record) - детальную информацию о перемещениях по стране и миру. Все крупные российские авиаперевозчики подавляющую часть поездок до сих пор через западные системы оформляют. Наши граждане, когда будут писать мемуары, чтобы не напутать с датами далеких поездок, вполне могут обратиться в компании Амадеус или Сайбор и уточнить там маршруты своих перемещений.

Вот такие мысли навевает закон на многочисленных обсуждениях. Пока закон твердо намерены выполнять те, кто меньше всего его нарушал. Хорошо бы, чтоб полезную инициативу все подхватили,  и нам никогда не пришлось бы встретить своего кибердвойника в недалеком, пусть и электронном, будущем.