По данным «Известий» на фоне растущей угрозы после начала СВО Роскомнадзор разработал рекомендации для всех операторов, осуществляющих обработку персональных данных, — от ИП до крупных компаний. В Службе объяснили необходимость их выпуска ростом количества крупных инцидентов с утечками персональных данных: так в 2021 году было зафиксировано лишь четыре крупных инцидента, когда в открытый доступ попало 2,7 млн записей; в 2022-м — более 140 случаев, когда утекло около 600 млн записей о гражданах; и только за семь месяцев 2023 года в РКН зафиксировали свыше 150 подобных случаев. Если учесть, что граждан в России всего чуть более 140 млн человек, то сведения о каждом из в них утекли в Даркнет в прошлом году чуть более четырех раз.
Дробление и минимизация полномочий
В службе в целом предлагают минимизировать перечень персональных данных, используя в информационных системах лишь ту информацию, которая действительно необходима для оказания услуги, продажи товаров и иной деятельности. Роскомнадзор рекомендует операторам отказаться от накопления сведений о своих клиентах «на всякий случай» и от формирования их профилей, «если это не жизненно нужно для организации». Так что никакой персонифицированной или таргетированной рекламы быть не должно. В РКН отдельно настаивают на своевременном уничтожении персональных данных после «достижения цели обработки», например, после оказания услуги.
Кроме того, в службе настаивают на «дроблении» личных сведений, то есть хранении каждой конкретной информации о человеке — имя, номер телефона, покупка — в разных базах вместо одной ячейки. Это уменьшит шансы мошенников привязать данные к конкретному физическому лицу в случае утечки сведений из нескольких баз. Впрочем, в РКН подчеркивают, что полностью исключить угрозу нельзя. Однако подобные меры сильно затруднят деятельность таких людей. Среди других рекомендаций — использование технических и программных средств, принадлежащих самому оператору, а не третьим лицам, хотя в самом законе и предусмотрена возможность передачи персональных данных на обработку стороннему оператору, например, в облако.
“В отличие от, скажем, нарушений в ПДД, где всё конкретно — штраф за превышение конкретной скорости, — в вопросах личных данных всё более чувствительно, и к ответственности привлекает именно суд, — пояснил для «Известий» особенности использования рекомендаций заместитель руководителя Роскомнадзора Милош Вагнер. — Поэтому судья, разбираясь в ситуации, также может принять во внимание тот факт, что Роскомнадзор предупреждал о возможной угрозе и выступал с рядом рекомендаций, которые позволили бы ее предотвратить. Но организация решила не брать их в расчет, решив сэкономить на безопасности своих клиентов”.
Против консолидации данных
Следует отметить, что представители компании «РТК-Солар» еще в конце мая отмечали, что сейчас киберпреступники занимаются консолидацией и обогащением данных, полученных из разных утечек информации. Они назвали это Большими Опасными Данными (БОД), в которых количество информации переходит в качество. Мы писали об этом в статье “Аура киберпреступлений” (https://www.connect-wit.ru/aura-kiberprestuplenij.html), где перечисляли опасности подобной консолидации ворованных персональных данных и предоставлении услуг на их основе. Предлагаемые Роскомнадзором рекомендации как раз и направлены на предотвращение создания подобных БОД за счет дробления и минимизации сведений, хранящихся в отдельных информационных системах операторов. Поэтому операторам ИСПДн все-таки стоит придерживаться советов Службы и не хранить данных больше необходимых, да и последние лучше дробить так, чтобы взлом одной системы не приводил к раскрытию всей базы данных пользователей.