В России начнёт работать ассоциация, помогающая компаниям в вопросах защиты и безопасного хранения персональных данных

В России начнёт работать ассоциация, помогающая компаниям в вопросах защиты и безопасного хранения персональных данных

С начала 2024 года Роскомнадзор зафиксировал 19 фактов утечек персональных данных, в сеть попало более 510 млн записей о россиянах. За весь 2023 год Роскомнадзор зафиксировал 168 утечек.

На днях на рынке прошла ещё одна новость: «Известия» привели данные экспертов сервиса DLBI, в которых отмечено, что за I квартал 2024 года в открытый доступ было слито 121 миллион телефонных номеров и 38 миллионов email-адресов, что в пять раз больше, чем за аналогичный период прошлого года. При этом, болee 70% слитых данных оказались из финансовых организаций.

Эти растущие цифры утечек ещё раз показывают, что одних только ужесточений со стороны властей в виде повышения штрафов — рынку явно недостаточно. И проблемы кроются не только в нежелании диджитал-компаний вкладываться в безопасность. Они кроются в целом спектре проблем: от банальных трудностей в выборе сервиса, потому что многие из них сегодня маскируются под «российские», до проблем с Anti-DDoS-решениями у компаний, которые обслуживают эти крупные финансовые организации. Поэтому, естественная потребность рынка в конкретном «представителе» от отрасли перед государством, и в определённом «наставнике», который бы помогал компаниям минимизировать риски утечек данных — назрела уже давно.

Stream Telecom, Sendsay и DashaMail: три российские компании, ĸоторые работают с хранением и обработĸой ĸлиентсĸих данных и являются заметными эĸспертами в своих нишах — решили объединить усилия, и учредили Ассоциацию компаний по защите и хранению персональных данных.

Ассоциация будет помогать сервисам, которые работают с большими данными и диджитал-компаниям, которые пользуются услугами таких сервисов.

Александр Сильченко, Глеб Кащеев и Юлия Рожкова рассказали в интервью о главном — необходимости защиты персональных данных, важности вступления компаний в профильные ассоциации и в целом о новой ассоциации.

— Чем занимается ассоциация по защите персональных данных, какие задачи ставит перед собой?

Александр Сильченко, председатель ассоциации,
основатель и исполнительный директор Stream Telecom:

— Начну с истории создания ассоциации. Я работаю в сфере SMS и email-маркетинга более 15 лет в рамках компании Stream Telecom — уже в 2015 году мы с моим партнёром задумались о создании ассоциации SMS-агрегаторов России, которая объединила бы рынок, и позволила общаться, обмениваться опытом и вместе вырабатывать стандарты отрасли.

В 2020, и особенно в начале 2022, года ситуация стала сильно меняться в плане ухода из России зарубежных вендеров из недружественных стран, усилились хакерские атаки на базы данных компаний, а также государство стало ужесточать проверки и законодательство в сфере персональных данных (далее ПД). Все перечисленные факторы способствовали тому, что мы с коллегами собрались в конце 2023 года и решили основать «Ассоциацию компаний по защите и хранению персональных данных».

Задачи ассоциации определили такие:

  • Создание площадки для общения, обмена опытом и выработки совместных стандартов защиты и хранения ПД для профессиональных участников рынка — сервисы рассылок, сервисы и продукты, работающие с Bigdata, различные телекоммуникационные компании. Ассоциация будет выражать консолидированное публичное мнение отрасли.
  • Создание полезного информационного ресурса для Российского бизнеса по защите и хранению ПД, на котором будут актуальные новости по тематике ПД и утечек, изменение законодательства РФ, статьи от различных экспертов и компании, а также консультационный сервис.
  • Введение стандартов безопасности по ПД и добровольная сертификация профессиональных участников рынка, рекомендации и чек-листы для Российского бизнеса по выбору подрядчика и собственной безопасности в сфере ПД.
  • Выступать во взаимодействии с государственными органами, отстаивать интересы участников и партнёров, способствовать росту рынка.

— Для каких компаний будет полезно знать и следить за деятельностью ассоциации?

Александр Сильченко, председатель ассоциации,
основатель и исполнительный директор Stream Telecom:

Ассоциация — сообщество экспертов в рамках обработки, хранения и защиты персональных данных. У учредителей накоплен большой опыт работы как с самими данными, так и с подрядчиками, и с государственными контролирующими органами.

Для малого и среднего бизнеса необходимо иметь достоверный источник информации, где будут собраны новости, актуальные законы, статьи, чек-листы и советы по защите и хранению персональных данных.

Для профессиональных участников рынка мы планируем разработать стандарты безопасности работы с ПД, а также добровольную сертификацию — что поможет «подсветить» клиентам определенную безопасность работы с данным поставщиком и с большой вероятностью сэкономить деньги и репутацию заказчику.

— Как именно вы планируете выстраивать взаимодействие с законодательными органами власти по вопросам хранения и обработки персональных данных?

Александр Сильченко, председатель ассоциации,
основатель и исполнительный директор Stream Telecom:

Сначала мы планируем собрать достаточное количество участников рынка как в нашей ассоциации, так и привлекать их на наши мероприятия. После чего соберем консолидированное мнение по разным аспектам работы с ПД и самые острые донесем до госорганов с нашими конкретными предложениями по изменению.

Планируем участвовать в различных публичных и профессиональных мероприятиях, организуемых профильными государственными структурами. Никто не отменял работу в СМИ — публикация статей от участников ассоциации и общего мнения на актуальные вопросы.

— Почему налаживание диалога с государством так важно сейчас для отрасли?

Александр Сильченко, председатель ассоциации,
основатель и исполнительный директор Stream Telecom:

С 2022 года существенно возросли угрозы для всех компании в России: угроза хакерской атаки, похищение персональных данных, неправомерное использование ресурсов компаний, в том числе в экстремистской деятельности.

В этих условиях государство в ускоренном режиме начало изменять законодательную базу в сфере ПД — в основном, в сторону ужесточения ответственности для юридических лиц и существенному увеличению штрафов.

Именно поэтому диалог с государством необходим: чтобы принимаемые решения были гармонизированы с ожиданиями участников рынка и представителями бизнеса РФ.

Ассоциация призвана решить как данный вопрос, так и формировать консолидированное мнение профессиональных участников рынка и вырабатывать стандарты соответствия по безопасной работе с ПД.

– Какие есть риски для малого и среднего бизнеса в области сохранности данных при использовании облачных сервисов?

Глеб Кащеев, генеральный директор Sendsay:

Если крупный бизнес может позволить себе собственные IT-решения или те, что устанавливаются на внутренние сервера и не передают информацию во вне, то малый и средний бизнес для работы с данными клиентов чаще всего использует облачные решения. То есть передает персональные данные третьим лицам.

И вот тут всегда возникает вопрос в благонадёжности таких подрядчиков. Сервисы из недружественных стран зачастую достаточно фривольно обращаются с данными российских компаний. Были случаи и просто удаления базы, и даже перепродажи данных россиян. Но даже за ширмой якобы российского SaaS часто скрываются те же зарубежные сервисы, которые открыли российское юрлицо, поставили фиктивный сервер на территории РФ, который вообще может не участвовать в бизнес-процессах. По факту — всё обрабатывается и хранится за рубежом.

Таким образом, малый и средний бизнес могут невольно стать нарушителями закона: как минимум речь идёт о передаче персональных данных для обработки за границу, а как максимум — об утечке персональных данных, если западный сервис окажется не таким надёжным.

— Как пользователь может проверить надёжность компании, которой он доверяет свои персональные данные?

Глеб Кащеев, генеральный директор Sendsay:

Первый шаг — проверить предпринял ли облачный сервис хоть какие-то шаги для локализации — зарегистрирован ли он как оператор персональных данных и находятся ли его сервера (и, тем более юрлицо) в России.

На втором шаге лучше посмотреть, входит ли данный сервис в реестр отечественного ПО. Государство весьма строго контролирует и проверяет IT-компании, которые пытаются в него попасть. Если ваш SaaS в реестре есть — можно быть почти уверенным, что всё в порядке.

Однако есть полностью отечественные надёжные сервисы, которые в реестр отечественного ПО не входят по многим причинам. К сожалению, на данный момент нет контролирующего или сертифицирующего органа, который мог бы дать уверенность малому и среднему бизнесу, что он отдает свои данные в надёжные руки. Для этого и была создана наша Ассоциация.

— Почему ассоциация компаний по защите и хранению персональных данных была создана только сейчас?

Глеб Кащеев, генеральный директор Sendsay:

После февраля 2022 года прошла целая волна зарубежных сервисов, покинувших Россию и прекративших работать с данными российских компаний. Тем не менее многие представители малого и среднего отечественного бизнеса все равно пытались с ними работать через посредников. Сейчас же мы наблюдаем обратную волну: многие зарубежные сервисы возвращаются на перспективный российский рынок, прикрываясь, как ширмой, российским юрлицом.

Как уже говорилось выше, отечественные компании могут даже не понимать, кому они отдают персональные данные россиян и как их потом будут использовать. Одновременно с этим выросло и количество публичных утечек персональных данных. Также выросла и доля непубличных случаев, когда даже сама компания, передавшая персональные данные клиентов в сомнительный сервис, не знает, что их потом будут использовать для звонков «сотрудники банка» для мошеннических схем.

Это показывает, что назрела необходимость в создании ассоциации, которая будет работать и с государственными органами в области совершенствования законодательства и с сервисами, составляя «белый список» проверенных компаний, и с малым и средним бизнесом, объясняя эти риски.

— Кроме развития и оздоровления внутреннего рынка, какие еще направления в сфере интересов ассоциации?

Глеб Кащеев, генеральный директор Sendsay:

После решения первичных задач, по совершенствованию применения ФЗ-152 о персональных данных в области SaaS-сервисов и составлению прозрачных методик оценивания безопасности сервисов и их белого списка, мы бы хотели приложить усилия для продвижения услуг компаний из этого списка за рубеж на рынки дружественных стран. В первую очередь это страны БРИКС, но мы не будем ограничиваться только ими.

Мы уверены, что российский IT-бизнес должен занять лидирующее положение на рынках стран, заинтересованных в сотрудничестве с нашей страной.

— Какая вообще сейчас ситуация в вопросе защиты персональных данных? Все ли компании правильно обрабатывают и хранят данные?

Юлия Рожкова, генеральный директор DashaMail:

К сожалению, осведомленность компании в вопросах хранения и обработки персональных данных — невысокая, особенно среди малого и среднего бизнеса.

Крупные компании, конечно, в значительной мере осведомлены и серьёзно подходят к этому вопросу. Малый и средний бизнес зачастую просто финансово не могут себе этого позволить. Ведь безопасность — это дорого и неудобно. А малый бизнес в первую очередь сосредоточен на выживании и росте. При этом ответственность за небрежное отношение к персональным данным становится всё серьезнее.

— Какие санкции и штрафы могут быть применены к компаниям, в которых произошла утечка персональных данных пользователей?

Юлия Рожкова, генеральный директор DashaMail:

Пока установлена общая ответственность за утечку (т.е. инциденты - неправомерная или случайная передач ПД, повлекшая нарушение прав субъекта ПД) в соответствии со ст. 13.11 КоАП РФ. Штраф за нарушение составляет не более 300 000 руб. для юр. лиц (ч. 1 ст. 13.11 КоАП РФ, ч. 2 ст. 13.11 КОАП РФ).

Но в настоящее время в госдуме рассматривается законопроект о внесении изменений в КоАП РФ, которыми хотят существенно ужесточить наказания за утечку ПД. Законопроект прошёл первое чтение.

Если кратко, то предлагается установить штрафы для ответственных юридических лиц в следующих размерах:

  • 3 – 5 млн рублей, если утекли данные от 1 000 до 10 000 граждан
  • 5 – 10 млн рублей — от 10 000 до 100 000 граждан
  • 10 млн до 15 млн рублей — более 100 000 субъектов
  • За повторные утечки предлагается ввести оборотные штрафы — от 0,1 до 3 % выручки за календарный год или за часть текущего года, не менее 15 млн рублей и не более 500 млн рублей.

Помимо штрафов, утечка информации может повлечь для компаний иные последствия, такие как: финансовые потери, невыполнение обязательств по обеспечению защиты интересов клиентов, риск упущенной выгоды, репутационные потери, санкции административного и уголовного характера, раскрытие персональных данных, несоблюдение требований законодательства РФ.

— Какие законодательные меры принимаются для регулирования кибербезопасности бизнеса?

Юлия Рожкова, генеральный директор DashaMail:

Как я уже отмечала, безопасность — это дорого и неудобно. Текущие штрафы оказывались, порой, выгоднее. Поэтому первое, что делает законодатель — повышает финансовую целесообразность для бизнеса уделять должное внимание вопросам безопасности и вкладываться в неё финансово.

Кроме того, РКН видит тенденцию к большому и избыточному сбору персональных данных, в связи с этим законодатели планируют ужесточать регулирование этой деятельности.

Основной призыв законодателя к операторам — собирать и обрабатывать только данные, исключительно необходимые им. Все большие массивы данных собираются, в т. ч. из сфер, нехарактерных для основной деятельности операторов, в результате этого утечки становятся более и более чувствительными.

Один из принципов обработки ПД: не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Не допускается обработка избыточных персональных данных, которые не связаны с предметом договора. Не рекомендуется «копить» персональные данные «на всякий случай». Сбор всех данных нужно обосновывать.

— Как ассоциация будет помогать диджитал-компаниям в вопросах защиты и безопасного хранения персональных данных?

Юлия Рожкова, генеральный директор DashaMail:

Какие бы меры ни применялись, исключить полностью утечки невозможно. Мы можем лишь минимизировать риски.

Учитывая сложность и дороговизну вопросов кибербезопасности, особенно для малого и среднего бизнеса, и высокую ответственность за нарушения в отношении работы с ПД, одна из миссий ассоциаций — помочь бизнесу не допустить ошибок.

Сам малый и средний бизнес вряд ли будет представлять интерес для хакеров, но любой современный бизнес, так или иначе, использует различные IT-решения, в которые передает ПД свои и своих клиентов. Зачастую компании по незнанию выбирают подрядчиков, которые не отвечают требованиям законодательства. Например, использует зарубежные сервера, да ещё и в недружественных странах.

Разобраться в благонадёжности контрагента не всегда просто. Особенно если он пытается мимикрировать под российскую компанию. И вот, бизнес передает ПД на зарубежные сервера и даже не знает об этом. И поэтому, конечно же, даже не собирает согласия на трансграничную передачу данных. Но это ещё меньшее из бед — значительно хуже даже сам факт того, что ПД оказывается в недружественных странах даже без хакерских атак и взломов.

Ассоциация будет проводить аудит IT-компаний и подтверждать безопасность работы с ними.

— Кто может стать участником Ассоциации?

Александр Сильченко, председатель ассоциации,
основатель и исполнительный директор Stream Telecom:

— Участие в Ассоциации открыто для всех юридических лиц, у которых есть сервисы или проекты, реализованные с хранением больших объемов персональных данных и ведущих деятельность на российском IТ-рынке. А также это могут быть действующие компании-операторы больших данных из банковской, фискальной, страховой, интернет и телекоммуникационных отраслей, а также работающих в сфере обработки и хранения биометрических данных.

📍 25 апреля в 11:00 при поддержке информационного агентства «Национальная Служба Новостей» состоится бесплатная онлайн пресс-конференция, на которой учредители расскажут:

  • В чём будет заключаться помощь компаниям и чем будет полезна ассоциация рынку
  • Как компаниям вступить в ассоциацию и получить знак качества, удостоверяющий надлежащую обработку и хранение персональных данных их клиентов
  • Какие планы у Ассоциации по взаимодействию со странами БРИКС
  • Какие возможности откроются перед компаниями, вступившим в ассоциацию

Ассоциация компаний по защите и хранению персональных данных является некоммерческой организацией. Деятельность ассоциации направлена на улучшение и развитие рынка безопасности персональных клиентских данных.

1212
1 комментарий

Забавно, что ассоциация сама максимально забивает на требования закона а персональных данных, а сайты "участников" обвешаны трекерами как новогодняя ёлка)

Ответить