В течение последних месяцев государство активно занимается безопасностью организаций, входящих в критическую информационную инфраструктуру (КИИ). Однако, в данном направлении есть еще немало проблемных моментов.
Особенно непросто контролировать утечки данных. Вместе с тем, минимизировать их необходимо любыми способами.
Защита ПДн. Почему сейчас?
Тема защиты персональных данных сейчас обострилась в связи с введением оборотных штрафов. Раньше многие организации не уделяли этому направлению особого внимания. Тем более, что репутационные риски до сих пор не являются проблемой в нашей стране. И потребителей услуг никак не беспокоит, если сервисная компания вдруг публично теряет данные клиентов - никакого оттока пользователей в связи с этим не наблюдается. Да и сами организации еще недавно предпочитали заплатить штраф, а не разбираться в тонкостях защиты от утечек. Но когда на горизонте появилась вполне ощутимая угроза в виде миллионных оборотных штрафов, рынок внезапно проснулся, зашевелился.
Более полумиллиона - на особом счету у государства
В свою очередь, тематика обеспечения безопасности КИИ «выстрелила» в прошлом году, когда появился 250 Указ Президента, существенно повлиявший на стремление КИИ обеспечить защищенность своих ресурсов. Государство с его помощью четко обозначило свою позицию: безопасности теперь уделяется внимание на самом высоком уровне, а роль регуляторов ощутимо возросла.
Власти вдруг осознали, что обеспечивать защиту значимых систем необходимо в особом режиме. Госструктуры обратили свое пристальное внимание на объекты транспорта, энергетики, медицины, логистики, науки, промышленности (всего более 500 тыс. организаций) и стали настойчиво требовать от них хорошего уровня защиты и возможности продолжать работу в случае компьютерных атак. И власти начали заставлять их ставить устройства передачи информации в ГОССОПКА, выполнять требования о персональных данных, подключили министерский рычаг для давления на такого рода организации (для каждой - свое министерство). И вот уже обычная логистическая компания или медицинское учреждение, которых раньше никто особо не трогал, внезапно начинают получать письма о выполнении требований по защите данных от Роскомнадзора, а потом от ФСБ, потом поступает уведомление от Минтранса, а значимые сведения передаются в ГОССОПКА. Все это создает определенное давление и, в комплексе с различными подзаконными актами и инициативами по штрафам и иным жестким мерам вынуждает организации из КИИ активно интересоваться защитой данных, в том числе, от утечек, и предпринимать уже серьезные меры.
При этом, далеко не всем до сих пор понятно, кто точно относится к КИИ, а кто - нет, а также что им делать, как обрабатывать персональные данные, как защищать их. И - самое главное - что будет, если не выполнять все эти множественные требования регуляторов? Ответы на эти и другие вопросы вы сможете найти, если придете послушать 28 сентября мой доклад на онлайн-конференции IT. Право. Безопасность 2023. До встречи ;)