апр
01
2025
redaktor
Статья доказывает, что непрерывное обучение в области обработки и защиты персональных данных перестало быть выбором организаций, это - норма и условие их работы в новой цифровой реальности. Требование регулярного повышения квалификации в этой сфере имеет несколько причин: постоянное обновление российского законодательства в области персональных данных (ПДн); ужесточение ответственности за утечки ПДн; усиление негативного отношения граждан к игнорированию организациями регулярного обучения сотрудников, призванных обеспечивать конфиденциальность ПДн; стремительно развивающиеся цифровые технологии реализации угроз безопасности ПДн.
Ключевые слова: персональные данные, непрерывное обучение, повышение квалификации, Институт мониторинга и оценки информационной безопасности (ИМОИБ).
Сегодня мы много говорим о проблемах ИБ-осведомленности сотрудников организаций. Однако, как это ни парадоксально, ответственные за ИБ организаций также не всегда достаточно осведомлены о способах, методах и средствах защиты информации. Новая цифровая реальность требует сегодня новых подходов не только к обеспечению информационной безопасности (ИБ) организаций, но и к компетенциям ИБ-специалистов. Дипломов об окончании вузов теперь недостаточно, знания и умения специалистов необходимо постоянно обновлять, т.е. регулярно повышать их квалификацию. Особенно это касается обработки и защиты персональных данных (ПДн). Почему?
-
Российское законодательство в области ПДн постоянно обновляется. Учиться – не рекомендация, а обязанность.
Достаточно сказать, что только в Федеральный закон №152-ФЗ «О персональных данных» с момента его принятия в 2006 году вносились изменения 32 раза, в том числе треть из них – за последние 5 лет. Кроме того, регулярно принимаются нормативные правовые акты регуляторов Минцифры, Роскомнадзора, ФСБ России, ФСТЭК России. Не отстают и отраслевые министерства и ведомства. Нельзя не назвать также нашумевшие изменения, внесенные в последнее время в Уголовный кодекс РФ, КоАП РФ, Трудовой кодекс РФ. Все изменения безусловно требуют от ответственных за ПДн в организациях «держать руку на пульсе» и постоянно обновлять свои компетенции. Эта обязанность предусмотрена п.6 ст. 18.1 ФЗ-152 «О персональных данных» как мера, направленная на обеспечение выполнения оператором обязанностей, предусмотренных этим Федеральным законом. Поэтому возражение типа «мы обучились в 2022 — этого хватит» не работает! Тем более что многие изменения требуют не просто принятия каких-либо новых локальных документов, а перестройки всей системы обработки и защиты ПДн в организации.
-
Потребители стали более внимательно относиться к правилам защиты ПДн в организациях и негативно к тем, кто эти правила не выполняет и не учится их выполнять. Хочешь, чтобы тебе доверяли – постоянно учись.
Весьма красноречиво об этом говорят цифры.
2001 год. Зарубежное исследование показало, что только 3% потребителей внимательно читали политику конфиденциальности, а 64% — бегло просматривали или никогда не читали её.[1]
2024 год. Руководитель некоммерческой организации Tax Policy Associates Дэн Найдл решил проверить, сколько людей читают текст политики о конфиденциальности. Для этого он прописал среди пунктов договора бесплатную бутылку вина тому, кто обратится к ним после прочтения текста. За 3 месяца к ним обратился только один человек. Подарок оказался востребованным лишь спустя три месяца, причем забрал его не клиент, а работник другой компании, который искал пример хорошей политики конфиденциальности[2].
Иное дело – в России. Опрос среди российских студентов 2019 году, выявил, что 60,3% опрошенных при посещении сайтов читали (20%), либо читали выборочно (40,3%) пользовательское соглашение и политику конфиденциальности[3]. Как видим, те, кто не обращает внимания на документы, определяющие политику сайта в области обработки персональных данных, в явном меньшинстве.
Очевидно, что клиенты доверяют свои данные только профессионалам, а значит – только тем, кто постоянно этот профессионализм в области ПДн поддерживает, учится.
Еще один новый тренд - все больше пострадавших клиентов подают в суд, требуя компенсацию за утечку их ПДн. При этом иски граждан, стали активно удовлетворяться судами, тем более коллективные иски. Так, по свидетельству главы Центра правовой помощи гражданам в цифровой среде, подготовленные этой организацией иски удовлетворены на 100% [4]. Следует учесть и «обратную сторону медали» повышения юридической грамотности потребителей: вместе с ней, как правило, растет и потребительский экстремизм. Об этом задумались и в сфере защиты ПДн. Так, в 2022 году интернет-компании, операторы связи и банки из Ассоциации больших данных (АБД) усмотрели повод для «потребэкстремизма» в компенсациях за внесудебные утечки персональных данных и выступили против таких компенсаций[5]. А сегодня юристы уже предлагают соответствующие услуги организациям, оказавшимся жертвами недобросовестных субъектов ПДн. Логично утверждать в связи с этим, что постоянное обновление знаний о новых вызовах в сфере защиты ПДн (в том числе – со стороны их субъектов) становится для организаций законом выживания.
-
Цифровые технологии реализации угроз безопасности ПДн стремительно развиваются. Остановиться в обучении сегодня – значит стать мишенью.
Многое изменилось за последние 2 года. Появились ИИ-атаки: злоумышленники используют ChatGPT для фишинга. Точками утечек все чаще становятся умные устройства - датчики в офисах, камеры, CRM-системы. Все большую уязвимость приобретают облачные сервисы: ошибки в настройке AWS или Yandex.Cloud приводят к публикации приватных данных. Очевидно, что для борьбы с такими инцидентами обязательно нужны новые технологии защиты, а потому – надо учиться.
-
Традиционные аргументы против непрерывного обучения больше не работают, это – мифы.
Миф 1. «У нас все благополучно, учиться не требуется».
Нет, такое благополучие мнимое. По оценкам «Лаборатории Касперского», один из основных трендов 2024 года – это низкий уровень подготовки организаций в области кибербезопасности. Именно организации с наименьшей подготовкой в области кибербезопасности – это сегодня основные объекты атак[6].
О том, что все не так хорошо, говорят и результаты проверок Роскомнадзора без взаимодействия с оператором ПДн. Так, например, проверки сайтов на предмет выполнения требований по обработке персональных данных показали, что наиболее частым нарушением обработки персональных данных на сайте (30% от общего числа) является отсутствие размещенной на сайте политики. Еще 6% - это нарушения, связанные с некорректным содержанием размещенных на сайтах политик (ч.1 ст.18.1 152-ФЗ). В таких политиках не раскрываются подробно и в соответствии с требованиями цели и процедура обработки персональных данных[7]. Поэтому теперь Роскомнадзор обращает внимание не только на сертификационные документы об обучении ответственных за ПДн, но и на их актуальность.
Миф 2. «У нас маленький бизнес, который не интересует злоумышленников, постоянно учиться - необязательно».
И против этого аргумента есть серьезное возражение: по статистике в 2024 году киберпреступники выкладывали в интернет данные, утёкшие преимущественно от небольших компаний. Объём таких утечек от представителей малого и среднего бизнеса (МСБ) вырос в 4 раза по сравнению с прошлым годом. Как выяснили аналитики Kaspersky Digital Footprint Intelligence, только за I квартал 2024 года у представителей МСБ утекло 47 млн записей данных (против 12 млн в прошлом году)[8]. По итогам 2024 года тренд на увеличение количества утечек из малых организаций сохраняется[9]
Почему именно МСБ стал для злоумышленников более привлекателен? Малый и средний бизнес — это часто подрядчики крупных организаций. Крупный бизнес в последние годы усилил свою защиту. Однако МСБ, по словам руководителя направления пентеста Infosecurity в ГК Softline, «не обладают достаточными знаниями и ресурсами для полноценной защиты от киберугроз, что делает их более привлекательными для атакующих»[10]. Малые и средние предприятия реже проводят регулярные обновления и аудит систем безопасности. Не проводят они и регулярного обновления компетенций ответственных за ПДН. Поэтому злоумышленники выбирают в качестве средства получения доступа к данным (в том числе персональным) атаки на МСБ как подрядчиков.
Все более острыми становятся и угрозы со стороны внутренних нарушителей. Так «анализ данных о внутренних инцидентах показал, что в 2023 году 71% компаний МСБ сталкивались с попытками слива информации. В большинстве случаев инсайдеры пытались передать вовне финансовую информацию (64%), техническую документацию (50%) и персональные данные клиентов (47%)»[11]. Так что очевидно - малый и средний бизнес не может сегодня, как раньше, игнорировать вопросы обучения и непрерывного повышения квалификации своих работников, ответственных за ИБ и ПДн.
Миф 3. «У нас не хватает финансовых средств, если не учим - экономим».
Это не так. Обучение следует рассматривать в сравнении с потенциальными убытками. По данным исследования, в среднем ущерб от утечек информации в 2024 году составлял 11,5 млн рублей, а максимальные оценки пострадавших организаций превышали 41 млн рублей[12]. При этом наиболее дорогостоящими последствиями стали утечки персональных данных (45% респондентов).
Нет однозначного ответа на вопрос, какова норма годовых затрат организации на обучение, так как подход к бюджетированию зависит преимущественно от финансового положения компании. Как правило, работодатели ежегодно выделяют на обучение фиксированный процент своего дохода[13]. По результатам исследований кадровых платформ на одного сотрудника в среднем компании тратят от 15 000 до 100 000 рублей в год. В IT-секторе и высокотехнологичных отраслях - больше, в производственных и бюджетных организациях – меньше.
На практике стоимость обучения на курсе для ответственного за ПДн составляет 10–50 тыс. рублей. Понятно, что целесообразнее инвестировать в обучение сейчас, чем платить штрафы, компенсации и терять клиентов завтра. А для малого и среднего бизнеса в силу ограниченности их ресурсов такие потери из-за мнимой экономии могут обернуться банкротством.
Таким образом, непрерывное обучение в области обработки и защиты персональных данных перестало быть выбором, это - обязательное, неизменное правило жизни операторов ПДн в новой реальности. Эта норма касается всех: и бюджетных организаций, и бизнеса.
Требование регулярного повышения квалификации в этой сфере имеет под собой серьезную аргументацию:
-
постоянное обновление российского законодательства в области ПДн, ужесточение ответственности за утечки ПДн;
-
повышение правовой грамотности граждан в области ПДн, требующее от ответственных за ПДн в организации быть «на высоте» как в защите прав субъектов ПДн, так и в самообороне от недобросовестных субъектов ПДн;
-
стремительно развивающиеся цифровые технологии реализации угроз безопасности ПДн, которые требуют от организации учиться идентичным технологиям защиты от этих угроз;
-
полная утрата актуальности традиционных аргументов против непрерывного обучения в области ПДн. Теперь необходимо учиться постоянно, даже если вам кажется, что у вас все благополучно, у вас малый или средний бизнес, у вас не хватает ресурсов.
Астахова Л.В., д.п.н., профессор, зам. директора по методической и научной работе Института МОИБ
Куда пойти учиться? Предлагаем Вам обновлять свои знания в Институте мониторинга и оценки информационной безопасности. Каталог курсов Института МОИБ
[1] Гоулдман, Э. Что у меня на уме: обманчивая конфиденциальность. Октябрь 2002 г. – URL: EricGoldman.org
[2] Попов А. Компания прописала бесплатное вино в своей политике конфиденциальности — его забрали всего 1 раз за 3 месяца. – URL: https://www.mentoday.ru/entertainment/news/11-05-2024/kompaniya-propisal...
[3] Роскомнадзор: только 20% пользователей читают политику конфиденциальности – URL: https://n-pdn.ru/news/roskomnadzor-tolko-20-polzovateley-chitajut-politi...
[4] Глава Центра правовой помощи гражданам в цифровой среде: сто процентов подготовленных нами исков удовлетворяются судами. – URL: https://www.interfax.ru/interview/981834
[5] Бизнес усмотрел повод для «потребэкстремизма» в компенсациях за утечки данных. – URL: https://www.forbes.ru/tekhnologii/481737-biznes-uvidel-povod-dla-potrebe...
[6] Ландшафт киберугроз 2024: Аналитический отчет «Лаборатории Касперского» - Информационные технологии, кибербезопасность, искусственный интеллект – URL: https://newsletter.radensa.ru/archives/6538
[7] Российские сайты забыли про политики конфиденциальности. ComNews. – URL: https://www.comnews.ru/content/231651/2024-02-20/2024-w08/1008/rossiyski...
[8] Хакеры переключились с большого бизнеса на малый и средний бизнес, снизив атаки на крупные компании. – URL: https://www.dp.ru/a/2024/06/06/hakeri-perekljuchilis-s-bolshogo
[9] Утечки информации в России: отчет за прошедший год (2024). Ежегодное исследование утечек информации в России. – URL: https://www.infowatch.ru/analytics/analitika/utechki-informatsii-v-rossi...
[10] Хакеры переключились с большого бизнеса на малый и средний бизнес, снизив атаки на крупные компании. – URL: https://www.dp.ru/a/2024/06/06/hakeri-perekljuchilis-s-bolshogo
[11] Там же
[12] Model Studio CS: Убытки от утечек информации в компаниях превысили 10 млн рублей в 2024 году. – URL: https://modelstudiocs.ru/press/20250116-information-leaks.html
[13] Как составить бюджет на обучение персонала: образец. – URL: https://www.kdelo.ru/art/386104-byudjet-zatrat-na-obuchenie-personala-21-m6