Инцидент инциденту рознь

В конце мая текущего года вступают в силу изменения в законах о персональных данных и кибербезопасности, которые усилят ответственность бизнеса. Директор дирекции информационной безопасности АО «СОГАЗ» Георгий Старостин рассказал в своем интервью о том, к каким последствиям это приведет, в том числе, с точки зрения развития киберстрахования.

ССТ: Какими законами обеспечивается защита персональных данных?

Георгий Старостин: Главный закон в этой области — это Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», в котором прописаны, собственно, все основопо­лагающие принципы по защите персо­нальных данных. Административная ответственность за их нарушение предусмотрена Кодексом Российской Федерации об административных пра­вонарушениях. На данный момент этот закон предусматривает для компаний максимальные штрафы до 1,5 млн руб. На практике средний размер штрафа составляет от 30 до 300 тыс. руб.

Если говорить в целом о ситуации с утечкой персональных данных, то специалисты посчитали, что на каж­дого человека в России утекло не менее десяти строк, содержащих персональ­ные данные.

ССТ: Как изменится нормативная база?

Г. С.: С 30 мая текущего года мини­мальный размер первичного штра­фа за утечку персональных данных будет составлять от 3 до 15 млн руб. При повторном нарушении — от 1 % до 3 % оборота компании, но не бо­лее 500 млн руб. Думаю, при таких штрафах повышается риск сокрытия компаниями информации об утечках. Но тут важно понимать, что утечка и киберинцидент — не синонимы. Каждая утечка — это киберинцидент, но не каждый киберинцидент является утечкой персональных данных.

Что нужно делать для защиты персо­нальных данных, сейчас уже описано в различных нормативных документах. Есть приказ ФСТЭК России от 11 фев­раля 2013 года № 17, содержащий тре­бования к государственным информа­ционным системам, есть приказ ФСТЭК России от 18 февраля 2013 года № 21 о мерах по обеспечению безопасности персональных данных при их обработ­ке в информационных системах, есть ГОСТ Р 57580.1 — национальный стан­дарт по защите информации финансо­вых организаций и так далее.

Эти документы предписывают, что компания должна предпринимать те или иные технические или органи­зационные меры для защиты персо­нальных данных: периметр, в котором данные находятся, должен быть кон­тролируемым, должны использоваться средства защиты. Главное сейчас — обеспечить выполнение этих мер с точки зрения наличия необходимого оборудования, налаживания процессов его обслуживания, мониторинга си­стем, создания мер реагирования и др.

На данный момент самая зарегулиро­ванная отрасль в части информацион­ной безопасности, по моей оценке, это, все-таки, финансовый сектор.

ССТ: Достаточно ли таких средств и ме­тодов защиты данных?

Г. С.: Если говорить про защиту персональных данных, то в части регулирования меры всегда немного запаздывают относительно лучших практик, потому что сначала появляет­ся угроза, а только потом разрабатыва­ются технические и организационные меры реагирования. И только через какое-то время все эти защитные меры попадают в нормативные документы. Цикл от появления угрозы до реакции в нормативных документах обычно составляет от нескольких месяцев до нескольких лет.

Самая зарегулированная отрасль в части информационной безопасности — это финансовый сектор

ССТ: Как отреагирует бизнес на уже­сточение санкций за утечки данных?

Г. С.: Я предполагаю, что степень за­щиты информационных систем со сто­роны бизнеса будет увеличиваться вне зависимости от желаний бизнеса, по­тому что размер штрафов очень сильно изменится с 30 мая 2025 года.

Рынок киберстрахования сейчас должен получить новый драйвер роста, поскольку работы по восстановлению системы после киберинцидентов, меры по расследованию инцидентов требуют достаточно больших затрат.

Мы уже видим, что новый закон за­ставил компании задуматься об управ­лении рисками, связанными с утечкой персональных данных, видим и соот­ветствующий рост запросов на такое страхование.

ССТ: А разве страхование в принципе штрафы покрывает?

Г. С.: Нет, страхование штрафы не по­крывает. Но страхование покрывает восстановительные работы, которые могут выливаться в сотни миллионов рублей для крупного бизнеса.

Давайте рассмотрим ситуацию с «шифровальщиком»: после работы этого вредоносного ПО деятельность компании останавливается целиком. Время восстановления может состав­лять от нескольких недель до года, и в это время процессы в компании либо не работают совсем, либо рабо­тают гораздо хуже. Соответственно, компания недополучает прибыль.

Вторая составляющая расходов — это цена самих работ по восстанов­лению систем, потому что часто приходится собирать системы заново, пытаться как-то восстановить дан­ные, привлекать специалистов узкого профиля. А труд такого специалиста — это дорогой вид работ.

ССТ: В чем вы видите главную слож­ность развития киберстрахования?

Г. С.: Главная сложность — это него­товность страхователей предоставлять информацию о рискозащищенности, неготовность передавать третьей стороне результаты аудита кибербезо­пасности. В связи с этим страховщики полноценно не могут оценить риск и не выделяют большие емкости.

Кроме того, страхователи не всегда адекватно оценивают риск в данной сфере, и, соответственно, не понимают, какие плюсы они получат от адекват­ной оценки.

Страхование — это, все-таки, финан­совая защита, им нельзя подменять меры информационной безопасности. Но всегда есть вероят­ность непрогнозируе­мых рисков: на уровне системных мер компания сделала все, что смогла, но человеческий фактор исключить нельзя. Как раз для этого и существу­ет киберстрахование.

Можно ожидать, что с развитием технологий количество кибератак продолжит расти, при этом успеш­ность предотвращения этих рисков будет напрямую зависеть от защи­щенности информационных систем и от уровня развития культуры кибер­безопасности в целом.

ССТ: Как, на ваш взгляд, будет разви­ваться рынок киберстрахования?

Г. С.: Прежде всего, продукты по ки­берстрахованию должны разбиваться на классы, начиная от самых простых коробочных полисов страхования и заканчивая «тяжелым» страхованием больших организаций, где будет обе­спечен индивидуальный подход к по­требностям бизнеса. То есть, линейка страховых продуктов должна включать как самый минимальный набор ри­сков, так и полную защиту информаци­онной составляющей компании.

Главная сложность киберстрахования — это неготовность страхователей предоставлять информацию о рискозащищенности

Например, в СОГАЗе мы предлага­ем клиентам два основных подхода по страхованию ответственности за раз­глашение персональных данных. Пер­вый — коробочный продукт для малых и средних предприятий, предполагаю­щий типовые условия и возможность оперативного заключения договора страхования. Второй — страховка ки­беррисков с индивидуальным подходом к покрытию и оценке рисков.

Но надо понимать: если защищать бизнес целиком с одинаковым под­ходом к разным типам активов, то, скорее всего, для компаний нагрузка будет слишком большой. Поэтому тут логично движение в сторону разде­ления компании в целях обеспечения киберстрахования на разные классы активов. Например, Автоматизирован­ная Банковская Система (АБС) — это критический объект, который должен страховаться по максимальным кри­териям его восстановления, в отличие от компьютеров линейных работников.

По сути, это должны быть две разные зоны страхования в рамках одной программы страхования. АБС должна быть хорошо защищена, застрахована от ошибки, потому что потеря данных на этом участке, возможно, смертельна для бизнеса. А что касается компью­тера линейного работника– да, это неприятный инцидент, который тоже можно и нужно страховать, но ущерб здесь точечный, поэтому требования к страховой защите могут быть ниже. То есть, допустимы разные требования по страхованию к разным контурам.

ССТ: Есть ли какие-то отличия нашего подхода от, например, подхода Европы или Америки к защите персональных данных в контексте законодательства?

Г. С.: Существуют два принципиально разных подхода. В Европе все постро­ено на основополагающем постулате, что данные нужно защищать. А список требований при этом не детализиро­ван. Европейские регуляторы говорят, что именно вы должны защищать, а как это делать — решайте сами.

В России выполнение нормативных требований в сфере защиты данных осуществляется по иному принципу: есть мера, прописанная в законах, — она должна быть выполнена.

ССТ: С вашей точки зрения, как экспер­та в этой области, какие плюсы и минусы двух этих подходов — что более, а что менее эффективно на практике?

Г. С.:  На практике более эффективны те компании, которые сами задумываются о защите своих информационных систем, персональных данных своих клиентов и работников, вне зависимости от законодательства. Золотой середины не бывает, нормативные требования очень сильно зависят от менталитета, от подхода к регуляторике в разных странах. И поэтому первичным драйвером для компаний должна быть самомотивация и инвестиции в собственную безопасность.