English

«В условиях эпидемии приходится жертвовать безопасностью»

09 июня 2020

Пандемия коронавируса внесла коррективы в работу многих отраслей экономики России. Не стала исключением и сфера информационных технологий. Власти Москвы — самого пострадавшего от инфекции региона — в период активного распространения патогена запустили целый ряд приложений для контроля режима самоизоляции. Но многие из них давали колоссальные сбои, и гражданам приходили порой неоправданные штрафы. О том, можно ли было этого избежать, и необходимости контроля за удалением персональных данных из базы по окончании пандемии рассказала в интервью «Известиям» сооснователь «Лаборатории Касперского», президент ГК InfoWatch Наталья Касперская. В ходе беседы она назвала слабые стороны закона о цифровизации населения и возможности принятия в РФ цифрового кодекса.

«Разрабатывали по ходу»

— Власти Москвы разработали сервисы для контроля за соблюдением карантина — цифровые пропуска, приложение «Социальный мониторинг». Было много жалоб, что система не была отлажена и все они дают сбои. Консультировались ли власти с отраслью, в частности с вами, при разработке этих приложений? Почему такие важные сервисы дают сбои и возможно ли было этого избежать?

— Пандемия грянула неожиданно. Власти Москвы, конечно, ее не планировали и не могли подготовиться заранее. Все приложения пришлось разрабатывать по ходу. Причем это нужно было сделать очень быстро — мэр издавал указы, ограничивая движение людей, и департамент информационных технологий пытался эти указы выполнить. В таких условиях никаких консультаций с отраслью и специалистами по безопасности быть не может — нет возможности из-за ограниченного времени. На отладку тоже времени не было, поскольку надо было сразу запускать сервисы в использование. Поэтому столько сбоев, и это неудивительно.

Кроме того, нагрузка на разработанные сервисы очень большая — в Москве многомиллионное население и всё оно одновременно начало активно пользоваться сервисами. Это усугубило ситуацию.

Третий аспект: из-за такой скорости страдает не только плановость разработки и ее аккуратность. В условиях эпидемии приходится жертвовать безопасностью. Отсюда взломы, доступы хакеров, мошенничество с пропусками. Но их было не так много, как могло бы быть. В имеющихся условиях, я думаю, это не очень плохой результат.

— Как в этой ситуации быть с нарушением приватности данных граждан?

— Закон «О персональных данных» (ФЗ-152 от 27.07.2006. — «Известия»), мне кажется, плачет горькими слезами. Многие приложения требуют от граждан их обязательной установки, обязательной отсылки информации, причем без согласия человека, что уже за гранью. Это уже не технологический, а морально-этический и законодательный аспекты.

— Это дискредитирует местные власти в глазах населения?

— Никакая информационная система не может быть защищена на 100%, это теоретически недостижимо. При этом надо понимать, что стоимость атаки на порядки ниже, чем стоимость защиты: защиту вы должны делать по всем направлениям, а атакующему достаточно найти одну брешь, одну маленькую дырочку и туда пролезть. Если вы защитите восемь направлений, а девятое не сможете или забудете, этого будет достаточно для атаки. В условиях очень высокой скорости разработки, как правило, нет возможности сильно увеличивать защищенность сервисов. Это делают настолько, насколько успевают. Но, повторюсь, в нынешней ситуации могло быть хуже.

— Министр связи и коммуникаций Максут Шадаев, а вслед за ним и мэр Москвы Сергей Собянин обещали, что все данные граждан будут уничтожены, как только снимут карантинный режим. Учитывая такое количество накладок, как власти смогут доказать, что всё уничтожено и с личными данными пользователей ничего не случится?

— Меня смущает, что из-за необходимости выписывать пропуска граждане делятся своими довольно интимными данными. В этом смысле намерения министра и мэра уничтожить их потом очень хорошие. Вопрос вы правильно задаете: как доказать, что данные действительно уничтожены? Наверное, должно быть независимое ведомство, которому это поручат, например Федеральная служба по техническому и экспортному контролю (ФСТЭК), или Федеральная служба безопасности, или группа общественников, которая проведет аудит, оценит, где эти данные хранились, каким образом были удалены, насколько удаление полное, не осталось ли там «хвостов». Очевидно, нужно привлекать и внешних экспертов. Проведение аудита может дать если не стопроцентную гарантию, то по крайней мере значительно снизит риск. Так, например, 15 мая уже был прецедент в Татарстане: уничтожение персональных данных жителей республики после отмены цифровых пропусков было публичным, с аудитом и комиссией, включающей силовиков.

— Кому стоит поручить контроль?

— Об этом нужно спрашивать людей, которые понимают, как работает государственная служба. Я все-таки не государственный служащий.

«Гарантировать защищенность невозможно»

— Многие граждане начали опасаться усиления контроля властей за населением, появления новых подобных программ. Как людям обезопасить себя? Ждет ли нас тотальный контроль со стороны государства?

— В период коронавируса был принят закон о создании единого федерального информационного регистра населения (ЕФИР), куда планируют включить сведения обо всех россиянах. Против него уже выступала общественность. Меня тоже очень сильно смущает его создание, потому что непонятно, как будет обеспечиваться защищенность данных граждан. Ясно, что единая большая база будет очень привлекательна для всякого рода взломщиков, злоумышленников да и недобросовестных сотрудников, имеющих доступ. Гарантировать защищенность единого регистра населения, как любой информационной системы, невозможно.

Кроме того, риск даже не во взломах единой базы со стороны неизвестных хакеров, сколько в большом числе сотрудников ФНС и других ведомств, которые будут иметь туда легальный доступ. Создание такого регистра позволит гражданским лицам получить доступ ко всем данным всех граждан Российской Федерации. При том, что россияне не давали им этой власти над собой. К тому же есть опасения, что в базу со временем добавят и биометрические данные, и географию перемещений россиян, и их переписку, и медицинскую информацию. В законе есть упоминание о возможном расширении собираемых данных. В результате может появиться и социальный рейтинг граждан — как в Китае, и возможность дискриминации людей. Идея тотального контроля над гражданами настолько привлекательна, что непонятно, что должно впоследствии остановить ведомства и заставить их этого не делать.

Второй момент — граждане не будут иметь влияния на данные, которые попадут в регистр, их участие в процессе сбора, хранения и использования персональных данных о себе просто не предусматривается. В законе прямо написано, что данные из единого регистра не могут быть уничтожены. Если такие сведения попадут в неправильные руки или гражданину припишут действие, которого он не совершал, как потом ему доказать, что он не верблюд? Я здесь усматриваю нарушение Федерального закона № 152 «О персональных данных». Юристы, с которыми мы советовались, в один голос говорят, что это явно противоречит закону. Здесь наблюдается и противоречие Конституции РФ, потому что, согласно ч. 1 ст. 24, «сбор, хранение, использование… информации о частной жизни лица без его согласия не допускаются». То есть в России тайна личной жизни, ее неприкосновенность конституционно защищены. А цифровые данные гражданина — это его личная жизнь.

На мой взгляд, закон принимали в спешке, объясняя его необходимость коронавирусом, хотя вирус уже идет на убыль, а закон вступит в силу с 2023 года. Мне кажется, что премьер-министр как опытный специалист в ИТ хорошо понимает эти риски и должен в этом разобраться.

— Вы выступали за идею создания в России «цифрового суверенитета», в частности, предложили внести в новую версию Конституции норму о том, что информационные технологии и оборот данных граждан — предмет ведения деятельности РФ как государства.

— Да, я выступала за то, чтобы в ст. 71 Конституции внести норму о том, что в ведении федерального центра должны находиться информационные технологии, обработка и защита цифровых данных граждан. Потому что сейчас непонятно, под чьей ответственностью находятся информационные технологии, они в Конституции не упомянуты. Сейчас в разных регионах РФ принимаются законы и программы, по-разному трактующие базовые права граждан, строятся не совместимые друг с другом системы. Если сфера ИТ будет зафиксирована в Конституции, отвечать за нее будет государство.

Мы предлагали внести в Конституцию РФ главу о цифровых правах граждан, но нам сказали, что это не тот уровень, должен быть отдельный конституционный закон, скорее всего, в виде кодекса или закона, который защищал бы цифровые данные граждан и их цифровую идентичность, давал бы гражданину право отказаться от использования «цифры», не допускал бы цифровой дискриминации и возможности создания цифровых рейтингов граждан. Если эту поправку к Конституции примут, то следующим этапом мы планировали разработку цифрового кодекса, но теперь она вступает в противоречие с законом о едином федеральном информационном регистре. Интересно, что аналогичный закон был принят в Великобритании четыре года назад и недавно отменен. Все-таки граждане там добились того, что у них не будет единого регистра. Мне кажется, это правильно.

— У нас такое возможно?

— Почему нет? Совершенно необязательно всё отменять, можно создавать разные базы данных для разных ведомств и с разными целями. А уж если даже создавать единый регистр, то для его защиты использовать, например, режим государственной тайны при обращении к этим данным. По крайней мере какая-то ответственность будет у тех лиц, которые работают с данными граждан в этом регистре. Нужно серьезно проработать и вопрос ответственности оператора за утечки персональных данных из регистра. И вопрос его защищенности, которая должна быть на порядки выше защищенности обычной базы данных. И так далее.

— Когда может быть создан цифровой кодекс?

— Мы обсуждали этот вопрос с Павлом Крашенинниковым (председатель комитета ГД по госстроительству и законодательству. — «Известия»), одним из сопредседателей рабочей группы по написанию Конституции. Это его идея, он сказал: «Мы готовы участвовать в этом, но давайте сейчас Конституцию закончим и потом займемся». Дальше наступил карантин, рабочая группа прекратила деятельность и только недавно ее возобновила. Я думаю, что как только конституционные поправки примут, мы попытаемся снова. По крайней мере я не оставляю надежду и готова участвовать как эксперт.

«Потеря будет невосполнимой»

— IT-сферу некоторые эксперты называют сегодня наименее пострадавшей от последствий эпидемии. Так ли это, на ваш взгляд, и какая поддержка нужна отрасли?

— Я не согласна с этими «экспертами». АРПП «Отечественный софт» провела в мае и июне опросы среди членов ассоциации (это 188 компаний), чтобы выявить степень влияния кризиса на компании. Согласно результатам, снижение ключевых показателей экономической активности отмечается практически у всех опрошенных компаний. Выручка отечественных производителей и разработчиков программных продуктов снизилась: на 46% в апреле и на 47% в мае по сравнению с аналогичными периодами 2019-го. Компании-разработчики ожидают дальнейшего падения выручки, поскольку видят, как сужается воронка продаж.

Сходные цифры содержатся и в мониторинге отраслевых финансовых потоков № 7, опубликованном Центробанком РФ 4 мая 2020 года, где указано, что падение показателя «Взвешенный средний входящий поток» (с весами отрасли в ВВП) для IT составило 39,5% при учете платежей, осуществленных только через платежную систему Банка России (т.е. учтено менее половины платежей).

Мы готовы всё это рассказать на совещании у президента, которое должно пройти на этой неделе.

Ранее мы направляли в Минкомсвязь главе ведомства Максуту Шадаеву письмо о том, что необходимо признать IT-отрасль пострадавшей от коронавируса, что ей нужны дополнительные меры поддержки. Минкомсвязь выдала свой пакет предложений, но их, на мой взгляд, недостаточно для того, чтобы поддержать отрасль. На прошлой неделе мы — АРПП вместе с РУССОФТ (это еще одна ассоциация российских разработчиков) — отправили письмо на имя премьер-министра с просьбой признать отрасль пострадавшей. Ведь в нашей стране признают пострадавшими отрасли типа ресторанного бизнеса или туризма.

— Там, где очевиден ущерб.

— Да, это полезные отрасли, но порог входа в них достаточно низкий, там нет сложного ноу-хау, разрабатываемого годами. Как только возникнет спрос на путешествия или рестораны, они тут же появятся. Повара и туроператоры не будут массово эмигрировать в Кремниевую долину. С информационными технологиями не так. Интеллектуальная собственность нарабатывается годами, иногда — десятками лет. У нас есть компании, которые работают по 20–25 лет и за это время накопили гигантский объем технологий, носителями которых являются прежде всего люди. Если эти компании обанкротятся, восстановить это ноу-хау будет очень сложно либо невозможно, потому что это сложная, высокоинтеллектуальная деятельность. Поэтому нельзя так относиться к отрасли — это значительная часть российской экономики, поддерживающая все остальные. Банкротство компаний может привести к массовому оттоку наиболее квалифицированных разработчиков за рубеж. А если начнется такой отток, потеря будет невосполнимой. В стране и так сейчас нехватка IT-кадров. В таких условиях можно будет забыть и о цифровой экономике, и об особом развитии нашей страны как цифровой державы, и о высокотехнологичном экспорте. Это всё равно что рубить сук, на котором сидишь.

— Какие меры нужны?

— Очень просто: мы просим признать отрасль пострадавшей, отменить либо дать рассрочку на следующие четыре года по страховым взносам в фонд оплаты труда компаний, потому что в компаниях-разработчиках основные затраты как раз на фонд оплаты труда и связанные с ним налоги. Если разработчикам дадут рассрочку по налогам — это будет большая поддержка.

Еще одна мера — льготные кредиты и адресная помощь. Мы понимаем, что IT-сектору очень плохо дают кредиты и в нормальное время. Но для системообразующих компаний или лидеров рынка можно сделать исключение и найти возможности для их поддержки.

Последняя мера — поддержка или субсидирование государственного спроса на IT-продукцию. Идет резкое снижение спроса, все прижали деньги, тоже стараются платить только зарплату. В таких условиях основным заказчиком IT-продукции остается государство, если и оно не будет покупать ничего, тогда вообще непонятно, как дальше отрасли выживать. Господдержка спроса в нынешней ситуации — очень важная мера.

— Вы сказали, что возможна утечка кадров за рубеж. Насколько наша ситуация отличается от западной? Какие IT-компании наиболее пострадали сегодня, кому в первую очередь нужна помощь?

— По всему сектору я не могу сказать. В сфере разработки программных продуктов очень разная ситуация. Просели все, кто делает специфические программы для пострадавших отраслей. Условно, софт для ресторанного бизнеса сейчас не покупается совсем. Есть компании, у которых несколько ключевых заказчиков, но если эти ключевые заказчики не платят, то они тоже сильно страдают.

Думаю, что на Западе тоже всё просело. Но курс рубля опустился, а мы конкурируем не только внутри страны, но и с зарубежными работодателями. Их зарплаты в долларах и евро стали привлекательнее, и это не очень хорошая ситуация. На Западе тоже есть нехватка кадров, и это значит, что они будут у нас эти кадры оттягивать и утечка мозгов усилится.

— Из-за эпидемии коронавируса сотрудники многих компаний вынужденно перешли на удаленную работу, что создает риски утечки данных. Увеличилось ли количество взломов? Насколько сильно по сравнению с докарантинным периодом?

— Наши аналитики не отмечают особого роста, но если считать докарантинным периодом февраль–март, то за это время аналитический центр InfoWatch зарегистрировал 410 утечек в мире и 71 — в России. В апреле–мае в мире произошла 401 утечка конфиденциальных данных, т.е. меньше на 2,2%, в России — 77, то есть рост на 8,5%. Но это не значит, что в мире число утечек стало меньше, может, просто тема эта сейчас не так важна и СМИ пишут о другом. А в России тема защиты данных традиционно очень актуальна.

Интересно, что за апрель–май по сравнению с февралем и мартом вырос процент умышленных утечек данных по сравнению со случайными: в мире немного — с 73 до 77%, в России чуть больше — с 74 до 87%. Но надо учесть, что стало фиксироваться меньше утечек из-за массового перевода сотрудников на удаленку, очень много инцидентов остается в «серой зоне», не выявляется никак. То есть утечки сейчас происходят на отрезке дом–офис, поскольку дом и офис в новой реальности слились. Эти утечки вскроются потом и пойдут в новую статистику.

 

Источник
Новости по теме
Экспорт мотает на курс
"Большой Брат Следит За Тобой": Чипирование - Миф Или Реальность?
Пресс-релиз: Российские разработчики хотят лучше узнать японский, французский и бразильский рынки, 20 октября 2020