10 февраля в Центре кибербезопасности «Ростелеком-Солар» прошло выездное заседание комитета Государственной Думы по информационной политике, информационным технологиям и связи на тему «Безопасность граждан и их персональных данных в информационной среде».
В работе выездного заседания приняли участие:
- председатель комитета Государственной думы Александр Хинштейн;
- министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев;
- президент «Ростелекома» Михаил Осеевский;
- старший вице-президент по информационной безопасности «Ростелекома» и генеральный директор «Ростелеком-Солар» Игорь Ляпунов;
- представители ФСТЭК, ФСБ России и Роскомнадзора.
Участники поддержали необходимость повышения ответственности за утечки и незаконный оборот персональных данных через создание сбалансированных мер экономического воздействия на операторов таких данных.
Мероприятие началось со слов главы Министерства цифрового развития Максута Шадаева о запуске программы стресс-тестирования Госуслуг и ЕСИА, которое, в том числе, должно предотвратить технические возможности для утечки персональных данных.
«Сегодня мы вместе с компанией «Ростелеком» объявляем большую программу публичного поиска уязвимостей — баг-баунти, в которой может принять участие широкий круг айтишников. «Ростелеком», в случае нахождения участниками уязвимости, будет выплачивать достаточно серьезное финансовое вознаграждение, которое зависит от уровня ее критичности», – прокомментировал глава Минцифры Максут Шадаев.
Председатель комитета Госдумы по информационной политике, ИТ и связи Александр Хинштейн подчеркнул, что вопрос защиты пользовательских данных имеет основополагающее значение для государства.
Развитие цифровой среды влечет за собой увеличение объема персональных данных, и только гарантируя безопасность пользователей, можно говорить об устойчивом развитии и технологическом лидерстве страны.
Александр Хинштейн
Председатель комитета Государственной думы по информационной политике, информационным технологиям и связи
«Мы сегодня живем в условиях необъявленной кибервойны. Я рад, что цели злоумышленников не достигнуты. Для нас самым важным было получить от мероприятия практический результат – понять, требуются ли законодательные изменения, чтобы работа по защите цифрового контура нашей страны велась максимально эффективно».
На заседании комитета Госдумы был представлен анализ статистики утечек персональных данных за 2022 год. Рассмотрены предложения по повышению защиты персональных данных, включая проведение независимого аудита состояния информационной безопасности организаций, ужесточение ответственности за утечку персональных данных, а также ряд других актуальных мер.
Михаил Осеевский
Президент «Ростелекома»
«В 2022 году всем цифровым компаниям пришлось работать в условиях беспрецедентной кибервойны. Интенсивность и сложность атак на ИТ-инфраструктуру страны из-за рубежа возросли многократно. Однако мы не сломались. Нам, общими усилиями, удалось обеспечить устойчивость критической информационной инфраструктуры и стабильность оказания цифровых сервисов. Киберпреступники приложили гигантские усилия к хищению персональных данных. Особых успехов им достичь не удалось, но с помощью разного рода манипуляций они раздували масштаб «достижений» и якобы нанесенного ущерба».
«Мы научились быстро распознавать фейки и не тратить на них время. В целом, уроки прошлого года в сфере информационной безопасности сделали нас более сильными, опытными, стрессоустойчивыми, готовыми к любым неожиданностям», – подчеркнул президент «Ростелекома» Михаил Осеевский.
Игорь Ляпунов
Старший вице-президент по информационной безопасности «Ростелекома» – генеральный директор «Ростелеком-Солар»
«Нужно постоянно работать над повышением безопасности данных, особенно в текущее время. Ужесточение ответственности за утечки станет важным стимулом для компаний, но вводить такую норму закона необходимо максимально сбалансировано. В первую очередь, следует обратить внимание на вопрос расследования инцидентов и доказательство факта утечки, а это очень непростая задача, так как источник большинства утекающих массивов данных сложно однозначно идентифицировать.
К настоящему времени какое-то количество данных пользователей уже утекло в сеть — злоумышленники могут их просто «переупаковывать» и выдавать за новые, в том числе с целью давления на бизнес и дестабилизации ситуации в стране».
Заместитель директора ФСТЭК России Виталий Лютиков указал на то, что более 80% инцидентов с конфиденциальными данными происходит в результате ошибок пользователей или из-за неприменения компаниями необходимых средств защиты.
Организациям необходимо выстраивать риско-риентированную защиту, исходя из угроз. Предстоит найти сбалансированное решение между высокой защищенностью и стоимостью технических средств.
Также было отмечено, что значительная часть проникновений в организации происходит через подрядчиков, а в случае с государственными информационными ресурсами – через участников разработки и функционирования государственных ИТ-систем. Требования по информационной безопасности сегодня к этим подрядчикам не установлены, из-за чего возникает проблема с их привлечением к ответственности.
Предложение по определению требований обеспечения безопасности государственных информационных систем вне зависимости от того, где их информационная инфраструктура расположена, уже подготовлено.
Подводя итоги заседания, участники отметили, что тема оборота и защиты персональных данных очень чувствительная и всегда должна быть в фокусе внимания законодателей.
Необходимо усиливать направления нормативного регулирования, связанные с защитой объектов критической информационной инфраструктуры, где в том числе обрабатываются персональные данные, а также заниматься развитием отраслевого регулирования по этой тематике, которая бы учитывала соответствующую специфику.
О развитии «Ростелекомом» совместно с группой ВТБ цифровой инфраструктуры в регионах читайте здесь.
Реклама. ПАО «Ростелеком»
