ИБ существует в параллельном с ИТ мире

Вопрос о безопасности больших данных — многоаспектная тема. По-крупному можно выделить две ключевые сферы. Во-первых, это большие массивы данных, которые накапливаются в различных транзакционных системах: государственные регистры, госуслуги, финансовые транзакции, коммерческие услуги в разных сферах. По существу, это структурированное электронное досье на человека — его цифровой профиль.

В первом случае государственное регулирование защиты информации в России и в Европейских странах вполне адекватно. Основная проблема здесь заключается в стойком нежелании российских операторов данных выполнять предъявляемые требования в полном объёме и в ничтожном уровне ответственности за инциденты, связанные с неправомерным доступом или использованием больших данных. Второй проблемой является размывание ответственности за обеспечение безопасности таких данных между разными операторами. Третьей — недостаточная унификация технологий и продуктов для защиты данных.

Продукты защиты информации в российских реалиях живут в параллельном с ИТ мире: ИТ-компании стремятся быстрее выпустить на рынок свои продукты, при этом значимая часть вопросов ИБ для них остаётся незакрытой. Необходимо сделать так, чтобы выход «сырых», с точки зрения ИБ, продуктов на регулируемый рынок (государственные системы, базовая телеком-инфраструктура, финансы, торговля, медицина, энергетика и иные отрасли) был невозможен. А чтобы такой подход не отбросил ИТ-отрасль на годы назад, решения ИБ должны стать платформенными, компонентными — легко имплементируемыми в современный технологический стек. К сожалению, сегодня таких решений на рынке нет. Вместо этого мы видим всё более обособляющиеся экосистемы ИБ ведущих российских производителей средств защиты.

Безопасность информации в социальных сетях — это вопрос, который не может быть решён только в пределах национальных границ (в России это пытается делать Роскомнадзор, и часто успешно). Требуется широкий международный консенсус и наднациональное регулирование вопросов безопасности и использования данных в мировых агрегаторах информации — таких гигантах, как Google, Apple, Telegram, Amazon и т. п. В текущих реалиях эти операторы существенно злоупотребляют доминирующим положением и при попытках регулирования стремятся выйти из подчинения. Кроме того, отказ инфраструктуры таких операторов несёт глобальный риск для всего интернет-пространства. Недавним примером такого инцидента стал отказ CDN-провайдера Fastly, затронувший множество коммерческих и государственных ресурсов. Также недавно стало известно про утечку RockYou2021 — миллиардов паролей от учётных записей пользователей в различных публичных ресурсах. Оценить степень достоверности этой базы данных и масштаб ущерба не представляется возможным. Всё это представляет собой угрозу мирового масштаба.

Интересен вопрос выбора подходов к хранению БД. Задача безопасности транзакционных БД в подрегуляторных сферах вполне выполнима и даже не является сверхзадачей. При этом важно иметь в виду, что концентрация данных всегда консолидирует риски, связанные с их использованием. Так что стратегически распределённая система центров обработки данных с множеством центров ответственности (при условии должного, сопоставимого и контролируемого уровня защиты) является гораздо более безопасной, чем создание единого мегахранилища (или мегаплатформы). К слову, идея мегаплатформы сейчас активно продвигается отдельными участниками рынка. 

Уровень защиты всегда предполагает оценку потенциала злоумышленника, ценности защищаемых данных и стоимости самой защиты. Чем выше концентрация данных, тем больше их потенциальная ценность для злоумышленника, а значит, риск ущерба резко возрастает. Концентрация данных в одном месте приведёт к необоснованным затратам на их защиту, при этом атака на такой объект будет заветной целью для высокопрофессиональных нарушителей. В случае успешной атаки ущерб будет катастрофическим.

Отдельная серьёзная проблема — это подконтрольность субъекту его собственных персональных данных. Здесь также надо разделять транзакционные подрегуляторные истории и обычное использование социальных сетей, сервисов и экосистем глобальных игроков digital-рынка. В первом случае цель обеспечения контроля вполне достижима. Необходимо на уровне регуляторов обязать операторов персональных данных обеспечить людям возможность контроля над использованием провайдерами их персональных данных. Неслучайно сегодня наметилась тенденция перехода от разобщённых и несогласованных множественных государственных ИС к централизованным ГИС по отраслям (ведомствам). Это поможет сократить число государственных операторов персональных данных и позволит отслеживать все обращения к персональным данным субъектов.

В банковской (финансовой) сфере и у телеком-операторов проблема решается ещё проще. Не секрет, что данные клиентов просто «продаются » или «сливаются» операторами на коммерческой основе. Аналогичная история — в страховом бизнесе и в коммерческой рознице. Здесь имеет смысл использовать европейский опыт и установить колоссальные штрафы за несогласованное с владельцем использование его персональных данных (по аналогии с санкциями за нарушение GDPR). Так, чтобы штраф кратно превышал потенциальную прибыль от продажи данных, причём по каждому субъекту. Что касается вопросов защиты персональных данных в социальных сетях, то здесь на текущий момент может помочь только грамотная просветительская деятельность. Это долгий, планомерный и многоступенчатый процесс. Но начинать прививать цифровую гигиену нужно уже со школьной скамьи.

Рассматривается также подход, связанный с использованием анонимизации персональных данных, он вынашивается уже долгие годы. Технически вполне возможно ввести специальный ID для каждого человека и далее на основании этого ID связывать все данные человека в различных системах в единый профиль. Есть, однако, и некоторые возражения против такого подхода. Во-первых, таких идентификаторов у человека в России уже слишком много: номер паспорта, СНИЛС, ИНН, идентификатор в Единой биометрической системе (ЕБС) и другие. Во-вторых, это не меняет сути проблемы: неважно, хранятся в системе Ф. И. О. или иной идентификатор пользователя, за ним стоит конкретное физическое лицо. Поскольку при получении услуг и выполнении различных транзакций человек всё равно будет себя идентифицировать, важно обеспечить высокую степень безопасности каждой конечной точки транзакции, исключить неправомерное использование данных. При этом важно понимать, что задачу введения единого ID невозможно решить до тех пор, пока все данные в государственных и коммерческих системах не будут взаимоувязаны, а ошибки и дублирование — исключены. В России сейчас этот процесс идёт активно, но всё же пока не завершён.

Ещё одним риском такой «виртуализации» человека является возможность похищения всего его цифрового профиля и выполнение произвольных действий от его имени. Да и любая база ключей, связывающая ID с конкретным лицом, рано или поздно может быть скомпрометирована внешним или внутренним нарушителем. Чтобы этого не произошло, важно поддерживать требуемый уровень информационной безопасности контролируемого множества информационных систем, достоверно увязанных между собой по идентификаторам лица. Создание таких защищённых информационных систем должно стать утилитарной задачей, решить которую позволит переход на компоненты обеспечения ИБ, стандартизованные по интерфейсам, технологиям и протоколам. Сегодня, однако, заметными препятствиями к такому переходу становятся: технологический монополизм производителей средств защиты информации в России, а также разобщённость рынков ИТ и ИБ. Устранить данное препятствие по силам только государству при активном участии независимых коммерческих игроков рынка.