Исследование: персональные данные в российских финансовых организациях

      Комментарии к записи Исследование: персональные данные в российских финансовых организациях отключены

Персональные данные (ПД) клиентов, партнеров и сотрудников являются важнейшим активом любой финансовой компании и, в то же время, ее серьезной проблемой. Утечка персональных данных не выгодна ни компании (она испытывает масштабные репутационные потери), ни владельцам этой информации (они испытывают как минимум беспокойство, а как максимум – становятся жертвами различных афер). // Владимир Ульянов, руководитель аналитического центра Perimetrix, специально для Bankir.Ru.

Персональныеданные остро нуждаются в специализированной защите от хакеров, инсайдеров и слишком халатных сотрудников. Эта задача является настолько социально важной, что бывший президент РФ Владимир Путин издал для нее федеральный закон, который так и называется: ФЗ «О персональных данных».За первые два года своего существования, закон не сумел заработать на практике, однако в последнее время стали наблюдаться активные попытки его возвращения к жизни.

В данном отчете приводятся основные результаты исследования «Персональныеданные в России 2008» применительно к отечественным финансовым организациям. Исследование было выполнено специалистами аналитического центра российской компании Perimetrix совместно порталом Bankir.Ru, сообществом ABISS и журналом Information Security/Информационная безопасность с июля по сентябрь нынешнего года.Основная задача исследования — выявить текущий уровень защищенности персональных данных в российских компаниях, а также отношение игроков рынка к законодательному регулированию в этой области.

Методология исследования и портрет респондента

В рамках исследования были опрошены 389 специалистов, представляющие компании различных отраслей промышленности. Отметим, что практически половина (182 человека, 46,8 респондентов) участников исследования работают в российских компаниях финансовой сферы. Все результаты, которые приводятся в данной статье, получены по итогам ответов только «финансовой» части респондентов и относятся к реальному положению дел в российской банковской отрасли.

Рис. 1. Количество сотрудников

Исследование: персональные данные в российских финансовых организациях

Распределение компаний-респондентов по размеру (см. рис. 1) оказалось достаточно равномерным – в нем присутствуют компании малого бизнеса, предприятия среднего размера и крупные корпорации, имеющие более 10 тыс. сотрудников. Отметим, что четверть (25,3) специалистов работают в крупнейших российских банках, имеющих более 5 тыс. сотрудников, а еще 36,8 — в кредитных организациях среднего размера (от 500 до 5 тыс. сотрудников).

Рис. 2. Должность респондента

Рис. 3. Ответственность респондента в области информационной безопасности

Профессиональноераспределение респондентов показано на рис. 2 и 3. В рамках исследования были учтены ответы только сотрудников департаментов и управлений информационных технологий и информационной безопасности различных организаций. Это означает, что все участники опроса так или иначе задействованы в процессах обработки и защиты персональных данных.

Отметим, что подавляющее большинство респондентов (78,0) участвуют в процессах принятия решений в области информационной безопасности. А значит – они задействованы и в процессах защиты персональных данных.

Обработка персональных данных в российских финансовых организациях

Все вопросы, которые задавались респондентам в рамках исследования, можно разделить на две основные части. В первой частиучастникам опроса предлагалось рассказать об использовании ПД в своих компаниях, а вторая часть была посвящена влиянию различных нормативных актов на степень безопасности персональных данных.

В обоих случаях респондентам задавались лишь косвенные и максимально конкретные вопросы, поскольку прямые и комплексные формулировки («Насколько защищены ПД в вашей организации?», «Как влияет федеральный закон назащищенность ПД?» и т.д.) не дают представления об истинном положении вещей и побуждают специалистов давать не всегда объективную оценку. Проблема в том, что каждый конкретный специалист имеет собственное мнение о безопасности, и сравнивать эти мнения друг с другом по дифференцированным критериям технически невозможно.

Внимание каждой финансовой компании к проблеме защиты персональных данных напрямую зависит от целого ряда факторов. Первым фактором этого списка является масштаб проблемы – то есть, количество обрабатываемых записей персональных данных. Чем больше записей обрабатывает компания – тем большую ответственность она несет за их защиту.

Как следствие, с ростом количества персональных записей растут и риски компании, которые с этими записями связаны.

Из ответов на следуующий вопрос (см. рис. 4) следует, что три четверти (75,2)респондентов преодолели «психологическую» отметку в 10 тыс. записей персональных данных. Утечку такого объема информации уже нельзя назвать локальным инцидентом, поскольку она затрагивает количество людей, сравнимое с населением небольшого города.

Всем пострадавшим в результате утечки такого масштаба крайне трудно предоставить адекватную защиту, а значит – реальные последствия инцидента практически невозможно проконтролировать.

Полученноераспределение показывает, что как минимум три четверти финансовых организаций уязвимы перед утечками персональных данных. Другими словами, защита этих персональных данных является весьма масштабной проблемой для всей отечественной банковской сферы.

Рис. 4. Количество записей ПД в российских компаниях

В особую группу риска попадают организации, обрабатывающие огромные объемы персональных данных, которые измеряются миллионами записей. Таких финансовых структур в России тоже хватает – их представляют более 13 участников опроса. И еслибанк, который хранит десятки тысяч записей, еще как-то может полагаться «на авось» и не обеспечивать адекватную защиту, то для крупнейших корпораций такой подход абсолютно неприемлем.

Утечка миллионного масштаба автоматически становится прекрасным пиар-поводом, который с радостью подхватывают различные новостныеагентства.Репутация небрежной компании начинает резко падать вниз, что неизбежно приводит к долгосрочным потерям в будущем.

Вообще говоря, именно огромное количество обрабатываемых персональных записей является основной спецификой информационной безопасности в банковской сфере. Как правило, современные банки имеют достаточно развитую ИТ-инфраструктуру, в рамках которой имеются структурированные базы клиентов, заемщиков кредитов или организаций партнеров. Конечно, банки пытаются такие базы защищать, однако само существование баз заведомо повышает риски утечки.

Вторым важнейшим фактором, который объясняет важность безопасности именно в финансовой сфере, является огромная ценность хранящейся информации, которая может быть непосредственно связана с финансовым состоянием конкретных людей. Если утечка базы телеком-оператора является лишь катализатором разного рода афер, то утечка банковской базы сразу же предоставляет всю необходимую информацию для мошенника.

Таким образом, банки обрабатывают огромные объемы персональных данных, которые, помимо всего прочего, имеют и очень высокую ценность. Но каким образом могут «утекать» эти объемы?

По данным мировой статистики инцидентов, около 90 всех происходящих утечек так или иначе связаны с действиями персонала. В данном случае речь идет не только о спланированном инсайде (то есть, краже информации), хотя и эта проблема является достаточно серьезной. Кроме инсайда, существует масса других сценариев утечки, большая часть из которых связана с банальной халатностью сотрудников, либо бездействием службы безопасности. Аналитический центр Perimetrix выделяет пять наиболее стандартных сценариев утечки персональных данных:

• Кража или потеря носителей (ноутбуков) с персональными данными;

• Веб-утечка: случайная публикация персональных данных в общедоступных местах (интернете или интранете);

• Спланированный инсайд: умышленная кража информации сотрудником, имеющим легальный доступ к ней;

• Бумажная утечка: печать персональных данных на бумажных носителях;

• Внешний взлом корпоративной сети.

Первые четыре сценария являются внутренними угрозами информационной безопасности. Таким образом, риски утечек персональных данных напрямую зависят от количества людей, имеющих доступ к массивам этой информации (см. рис. 5).

Рис. 5. Кто имеет доступ к массивам ПД?*

*Сумма долей больше 100, поскольку респонденты могли выбрать несколько вариантов ответа

В идеале, доступ к персональным данным должны иметь только сотрудники службы безопасности. На практике такая ситуация встречается крайне редко (3,8) – в большинстве случаев, доступ к информации (62,1) имеет также ИТ-персонал организации. Таким образом, риски возможной утечки информации значительно увеличиваются, поскольку численность персонала ИТ-департамента заметно выше, а истории про «обиженных сисадминов» давно перестали быть основой для анекдотов и переместились во вполне реальную плоскость.

Впрочем, ИТ-персонал является далеко не единственной угрозой безопасности персональных данных в финансовых компаниях. Существенная часть (23,1) респондентов предоставляют доступ к этой информации топ-менеджерам, действия которых всегда отличаются повышенным уровнем халатности. Кроме того, определенные опасения вызывают сотрудники аналитических служб, имеющие доступ к персональным данным в 19,2 случаев.

Отдельного внимания заслуживают службы технической поддержки и контактные центры. Эти подразделения, как правило, комплектуются не самыми квалифицированными сотрудниками и обладают высоким уровнем текучки кадров. При этом, операторы контактных центров практически всегда имеют доступ к персональным данным, которые необходимы им для обслуживания клиентов.

Исследование показало, что сотрудники технической поддержки и call-центров сравнительно редко (6,6 случаев) получают доступ именно к массивам персональных данных. Как правило, они могут посмотреть конкретные записи персональных данных «по запросу», но не обладают правами для действий с базами конфиденциальных сведений.

Это означает, что угроза утечки из контактного центра все же существует, однако не является слишком опасной — украсть большое количество информации посредством единичных запросов весьма проблематично. В данном случае уместнее говорить не об угрозе утечек персональных сведений, а о возможной слежке за конкретными людьми и предоставлении информации о них за определенную плату.

Защищенность персональных данных (см. рис. 6) практически идентична защищенности информации, которая составляет коммерческую тайну. Из этого тезиса можно сделать два вывода: с одной стороны, российские банки осознают важность защиты персональных данных, с другой – осознание этого факта отнюдь не равноценно качественной системе безопасности.

В большинстве современных предприятий защищенность персональных данных и защищенность сведений, которые составляют коммерческую тайну, находятся на одинаково низком уровне.

Рис. 6. Защищенность ПД в сравнении с защищенностью сведений, составляющих коммерческую тайну

Действительно, по данным другого исследования Perimetrix («Инсайдерские угрозы в России 2008»), два наиболее действенных класса систем защиты – решения для шифрования данных в местах хранения и комплексные продукты по защите от утечек — имеютдовольно низкое проникновение на российском рынке (36 и 24 соответственно). Все остальные системы безопасности занимаются защитой исключительно от внешних вторжений, и потому не могут ничего поделать с более опасными внутренними угрозами.

В последнее время все большую актуальность стали приобретать так называемые «партнерские утечки» персональных данных, которые допускаются «третьими» компаниями. По данным Ponemon Institute, практически 40 мировых инцидентов возникают в результате ошибочных действий партнеров, аутсорсеров и (что особенно интересно) логистических вендоров. Последние компании довольно часто теряют носители с приватными данными во время транспортировки.

В нашей стране культура аутсорсинга пока еще далека от западной, и потому российская ситуация с партнерскими утечками (см. рис. 7) не так сложна. Более половины (54,9) отечественных банков не делятся своими персональными данными ни с кем и никогда, а еще 24,7 — разделяют информацию только с дочерними и материнскими структурами.

И только оставшиеся 20,3 респондентов испытывают риски партнерских утечек по полной программе.

Рис. 7. Сторонние компании, имеющие доступ к ПД

В этом свете, было бы логично рассказать о другой проблеме, с которой сталкиваются 22,5 российских банков.Именно эта часть компании делится персональными данными с иностранными организациями – материнскими компаниями или обычными партнерами. Вместе с тем, согласно федеральному закону «О персональных данных» делать это можно лишь с согласия владельцев информации, которое технически невозможно получить.

Как следствие, перед иностранными компаниями возникают масштабные ограничения на трансграничную передачу персональных данных. Согласно букве закона, они не могут послать аудитора для проверки деятельности дочерней структуры, поскольку тот неизбежно получит доступ к персональной информации российских граждан. Они не могут создавать общие дата-центры консолидированного хранения российских персональных данных и информации жителей из других стран.

Наконец, они не могут обслуживать российских клиентов за границей, поскольку не имеют доступа к их персональной информации.

Получается типичный правовой коллапс – ограничения закона оказываются невыполнимыми, и потому они фактически не выполняются. При этом перед всеми иностранными компаниями возникают масштабные правовые и репутационные риски, которые в теории могут привести к сворачиванию бизнеса в России.

Законодательное регулирование защиты персональных данных

С точки зрения российского законодательства, использование персональных данных в отечественных банках жестко зарегулировано. Основным документом, регламентирующим меры защиты персональных данных, является одноименный федеральный закон, вступивший в действие 30 января 2007 года. За время, прошедшее с этого момента, закон практически не применялся на практике, однако в настоящее время наблюдаются серьезные предпосылки к изменению сложившейся ситуации.

Итак, что же представляет собой федеральный закон «О персональных данных»? По сути, он является высокоуровневым набором концептуальных требований к защите персональной информации. Отдельно подчеркнем, что под действие федерального закона попадают фактически все компании, которые имеют в своем составе хотя бы отдел кадров и бухгалтерию.

В области защиты информации закон выдвигает самые общие требования, не опускаясь до конкретных деталей. Например, норматив гласит, что «оператор персональных данных обязан принимать необходимые организационные и технические меры… для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Конкретики в законе нет, и определять степень необходимости мер фактически должна каждая конкретная организация.

Именно поэтому закон в его нынешнем виде почти невозможно применить на практике. Без более детальных требований («методичек») норматив практически теряет смысл, оставаясь лишь набором общих рекомендаций.

В ноябре 2007 года тогдашний премьер-министр России Виктор Зубков подписал специальное распоряжение («Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»), в рамках которого обязал уполномоченные органы (ФСБ и ФСТЭК) написать более детальные нормативы к федеральному закону к 18 февраля 2008 году. Нетрудно догадаться, что к обозначенной дате никаких нормативов не появилось.

Тем не менее, в июле 2008 года первый документ такого рода все-таки был опубликован правительством РФ. Постановление №512 содержит конкретизированные требования к «материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Конечно, этот документ не может покрыть все случаи, которые регулируются ФЗ, однако его публикацию можно расценивать как безусловный позитивный сдвиг.

Публикация конкретизирующих нормативов является не единственной попыткой правительства оживить фактически мертвый закон. В конце 2007 года стартовала разработка реестра операторов персональных данных, а также был назначен орган, ответственный за этот реестр (Россвязькомнадзор). Спустя четыре месяца представители регулятора объявили о создании реестра и призвали все российские компании внести туда свою информацию.

На момент подготовки этого исследования в реестре содержались сведения о 17 тыс. операторов персональных данных.

Так или иначе, в течение последних 12 месяцев правительство наконец-то стало проявлятьхотя бы какую-то активность. Конечно, пока эта активность недостаточна для реального применения закона на практике, однако сама тенденция заставляет задуматься. По мнению экспертов аналитического центра Perimetrix, существует достаточно высокая вероятность резкого усиления нормативного прессинга уже в ближайшие полтора-два года.

Однако сегодняшняя ситуация с регулированием выглядит весьма туманной. Эксперты по безопасности портала Bankir.ru не раз критиковали имеющиеся нормативы и утверждали, что они противоречивы и невыполнимы на практике. В банковской отрасли бытует мнение о том, что суровость регулирования будет компенсироваться его необязательностью.

Однако банкам (и особенно – крупным банкам) надо четко осознавать, что даже если такая ситуация действительно возникнет, то риски появления незваной проверки все равно никуда не исчезнут.

Рост озабоченности российских компаний влиянием федерального закона косвенно подтверждается собранной статистикой. Большинство (69,8) банковских специалистов (см. рис. 8) уже пытались вникать в положения ФЗ и задумывались о еговозможном влиянии на бизнес.

Оставшиеся 30,2 респондентов имеют о законе смутное представление либо вовсе с ним не знакомы.

Рис. 8. Осведомленность специалистов о ФЗ «О персональных данных»

Почти четверть (23,1) респондентов предполагает (см. рис. 9), что их компания полностью удовлетворяет требованиям закона уже сейчас. Весьма смелое утверждение, особенно если учесть туманность и размытость этих требований.

В каждом конкретном случае трактовка положений ФЗ может производиться по-разному и до появления конкретизирующих нормативов (а также методик проверки соответствия этим нормативам) заявлять о полном соответствии почти бессмысленно.

Вместе с тем, существенная часть специалистов честно признают, что их компании выполняют не все требования закона (30,8), либо не выполняют их вовсе (7,7). Для достижения соответствия этим компаниям придется инвестировать средства в развитие системы информационной безопасности.

Рис. 9. Соответствие требованиям ФЗ «О персональных данных»

Основным препятствием на пути соответствия закону (см. рис. 10) является нечеткость и размытостьего положений – эту проблему отметили почти 35 респондентов. Как и всегда, весьма актуальными трудностями являются бюджетные ограничения, а также отсутствие квалифицированных специалистов – каждый из этих пунктов набрал примерно по 20 голосов.

Остальные сдерживающие факторы, по–видимому, не являются серьезной проблемой для большинства организаций.

Рис. 10. Препятствия на пути к соответствию к ФЗ «О персональных данных»

В общем и целом, операторы персональных данных готовы добиться соответствия федеральному закону, однако они не могут понять, как именно это можно сделать. Медлительность чиновников оказывает негативное влияние и на вендоров систем защиты, которые теряют ориентиры при разработке защитных продуктов. Можно с уверенностью утверждать, что работающий федеральный закон нужен не только для защиты владельцев ПД, но и для развития рынка информационной безопасности в целом.

Более того, участники рынка считают важным не только выполнять положения ФЗ в их нынешнем виде (при условии публикации конкретизирующих документов), но и даже усиливать их в целях защиты владельцев персональных данных. В частности, более половины (56,6) респондентов уверены (см. рис. 11), что требование об обязательном разглашении информации об утечках ПД должно быть включено в федеральный закон.

Такое требование, уже прописанное в законодательствах ряда развитых западных странах, значительно увеличит ущерб компаний в результате каждой утечки информации. А значит – повысит роль подразделений, которые отвечают за ее защиту.

Рис. 11. Должны ли компании разглашать сведения об утечках ПД?

На самом деле полученные результаты не удивляют – любой специалист хочет увеличить свое влияние и значимость в жизни компании. Это означает, что требование «обязательного разглашения» рано или поздно появится в федеральном законе. Фактически, оно выгодно всем участникам рынка – и регулятору (усиление нормативного прессинга), и специалистам по безопасности (усиление внутрикорпоративной роли), и непосредственным владельцам персональных данных (усиление защищенности).

Оно невыгодно лишь владельцам и инвесторам компаний, однако лагерь противников достаточно немногочисленен.

Резюмируя все вышесказанное, легко прийти к выводу о растущем влиянии федерального закона в сравнении с другими регулирующими документами. Этот закон уже сейчас (см. рис. 12) является более значимым документом, чем все остальные нормативные акты, и в том числе – и отраслевые стандарты.

В будущем, по мере конкретизации требований закона, его влияние на бизнес будет только увеличиваться.

Рис. 12. Степень влияния различных нормативных актов на защищенность персональных данных*

*Сумма долей больше 100, поскольку респонденты могли выбрать несколько вариантов ответа

Впрочем, преуменьшать значение других документов также не стоит. В отличие от федерального закона (под действия которого подпадают едва ли не все организации) они имеют ограниченную область применения и иногда – необязательный характер. Для финансовых организаций такими стандартами являются норматив банка Россия «СТО БР ИББС», а также стандарт безопасности сведений банковских карт PCI DSS.

Некоторые банки рассматривают именно эти документы в качестве дорожной карты для создания корпоративной системы безопасности.

Защита персональных сведений и финансовый кризис

Поскольку исследование проводилось с июля по начало сентября 2008 года, в нем практически не учтено влияние, которое может оказать на отрасль банковский кризис. Каким может быть это влияние?

По мнению аналитиков Perimetrix, глобальная проблематика защиты персональных данных в банковских структурах вряд ли изменится. Конечно, банкам станет труднее добиться соответствия стандартам в силу нехватки свободных денег и, как следствие, ограничениях в объемах инвестиций на безопасность. Возможно, нормативный прессинг со стороны регуляторов также несколько уменьшиться, чтобы не подрывать итак ослабевшую банковскую систему.

Однако данные рассуждения не означают, что проблема защиты персональных сведений в финансовых организациях на время перестанет быть актуальной. В условиях тяжелой финансовой ситуации, любая утечка может стать причиной самых неприятных последствий – вплоть до краха и банкротства компании. Поэтому финансовые организации должны несколько раз подумать, прежде чем включать бюджет на безопасность в общую программу снижения расходов.

Заключение

В целом, исследование показало чрезвычайную важность и растущую актуальность защиты персональных данных в российских банках. На сегодняшний день они обрабатывают огромное количество персональных данных, доступ к которым имеет целый ряд корпоративных подразделений и департаментов. В большинстве случаев, этот доступ никак не контролируется, что приводит к высоким рискам утечки.

Законодательное регулирование защиты ПД до сих пор практически не работает, а основной норматив – ФЗ «О персональных данных» — по-прежнему выдвигает слишком общие и неконкретные требования. Каждая компания трактует эти требования исходя из собственных соображений, а иногда – просто их игнорирует. Правоприменительная практика в отношении ФЗ отсутствует, контроль над исполнением закона де-факто не производится.

Вместе с тем, российское правительство пытается (хотя и не слишком активно) реанимировать федеральный закон и получить хотя бы какой-то контроль над операторами персональных данных.Несколько, казалось бы, незначительных шагов, которые были предприняты в течение последнего года, наглядно показали общественности, что государство не собирается отказываться от своих замыслов. От этих действий закон «О персональных данных» не стал понятнее, однако он приобрел некую новую актуальность, которая со временем будет только расти.

Поскольку ФЗ уже давно вступил в силу, российские банки должны быть готовы к публикации конкретизирующих документов и появлению контроля над исполнением закона. Конечно, это событие не может произойти в один момент, однако и реализация комплекса защитных мер требует времени. Задумываться о защите персональных данных необходимо уже сегодня, внедрять защиту – завтра, а послезавтра – спокойно наблюдать за схваткой государства и менее дальновидных компаний.

Случайно подобранные статьи:

Зачем нужен закон «О персональных данных»?


Статьи, которые будут вам интересны: