Президент ГК InfoWatch Наталья Касперская дала интервью информационной службе Habr.com. В публикации речь пошла о динамике утечек данных в РФ и росте спроса на отечественное защитное ПО, который наблюдается со стороны коммерческих компаний. Также Наталья Касперская высказалась на тему ужесточения наказаний за утечки и о проблемах, которые возникли у организаций с ростом популярности облачных сервисов.
Как вы можете охарактеризовать динамику утечек в РФ с начала 2022 года. Как она отличается от общемировой?
Согласно нашим данным, число утечек увеличилось в 2,5 раза, и это можно назвать беспрецедентным ростом. Причем, произошел он не только в РФ, но и в мире в целом. Очевидно, что эти резкие изменения в первую очередь связаны с политическими событиями. Они привели к тому, что различные страны активизировали действия по похищению данных друг у друга. С другой стороны, если мы посмотрим на детали, то заметим разницу в характере инцидентов. Так, если в России целью злоумышленников в подавляющем большинстве (80%) случаев становятся персональные данные, то в мире в целом чаще воруют информацию, которая содержит коммерческую тайну, а персональные данные в структуре утечек занимают чуть больше половины (56%).
Поменялось ли сейчас ваше отношение к биометрии? Что можно сделать для защиты личных данных граждан в этом аспекте их применения?
На первый взгляд, биометрические данные — это публичная информация. Во всяком случае, лица у большинства людей открыты. Но с отпечатками пальцев дело обстоит уже сложнее — это менее доступные данные, заполучить которые — желанная цель для киберпреступников. Создание общей базы биометрии граждан РФ опасно в первую очередь тем, что в нее будет единый вход для всех, включая хакеров. Таким образом, в этом случае не будет реализовываться принцип распределенности ресурсов, а это означает их крайнюю уязвимость. Кроме того, сама идея создания единой базы противоречит 152-ФЗ «О персональных данных», согласно которому обработка данных должна производиться с конкретной целью. В этом же случае ее просто не существует, и ваши данные могут быть переданы кому угодно с неизвестными намерениями. Поэтому нет ничего удивительного в том, что люди отказываются отдавать свою биометрию на таких условиях.
Как вы смотрите на тенденцию перехода российских компаний к активному использованию облачных решений?
С точки зрения безопасности, эти решения нельзя назвать надежными, поскольку при их использовании вы загружаете файлы на неизвестный сервер, который находится вне периметра вашей компании. При этом ни один пользовательский договор не дает гарантии сохранности документов. В результате при возникновении инцидентов, провайдер успешно уходит от любой ответственности, что многократно доказывалось на практике. На мой взгляд, многие компании уже поняли это и сейчас мы наблюдаем противоположный тренд возвращения организаций к использованию внутренней IT‑инфраструктуры.
Ранее вы говорили о том, что существует реальная угроза дистанционной блокировки телефонов с операционными системами ОС Android и iOS. По какой причине мы этого не увидели, и существует ли еще такая опасность?
В первую очередь, это рычаг воздействия, для использования которого есть все технологические возможности. Почему же его не пускают в ход? Возможно, из-за того, что это слишком враждебный шаг, на который пока не решаются, опасаясь жестких ответных мер. К тому же, отключить смартфоны можно только один раз — без возможности повторить этот действие. Поэтому угроза сохраняется и в России необходимо создавать собственные гаджеты для населения, какой бы сложной задачей это не казалось — в частности, ввиду необходимости импортозамещения комплектующих.
Какова сейчас ситуация со спросом на вашу продукцию?
За последние два года он увеличился примерно на 45% — если говорить о заказах, поступающих от коммерческих компаний. Если же говорить о госкомпаниях, то если их запросы и увеличиваются, то этот рост совсем незначительный. Поэтому сейчас мы ориентируемся на потребности больших коммерческих клиентов.
Как вы смотрите на необходимость ужесточения ответственности за утечки конфиденциальной информации?
Многие представители бизнеса считают, что данная мера выглядит как презумпция виновности для специалистов по ИБ, ведь даже самые совершенные защитные меры не могут дать 100% гарантии отсутствия утечек — особенно, если злоумышленникам поможет кто-то из сотрудников компании-жертвы.
К сожалению, полный текст документа, который должен будет регламентировать ответственность за утечки, пока еще не опубликован. Но, согласно его известным в настоящее время фрагментам, можно понять, что основная вина ляжет на директора и руководителя отдела ИБ, что тоже было бы неправильным шагом. Дело в том, что для того, чтобы определить виновного, вам нужно найти человека, который допустил утечку. А это не всегда представляется возможным. Однако именно с таким подходом к привлечению к ответственности согласно множество экспертов, которые обсуждали эту проблему — в частности, мы увидели это в ходе проведения предыдущего BIS Summit.