В работе выездного заседания приняли участие: председатель Комитета Государственной Думы Федерального Собрания РФ Александр Хинштейн, Министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев, Президент ПАО «Ростелеком» Михаил Осеевский, старший вице-президент по информационной безопасности компании «Ростелеком», генеральный директор «Ростелеком-Солар» Игорь Ляпунов, а также представители ФСТЭК России, ФСБ России и Роскомнадзора.
В ходе мероприятия был проведен анализ статистики утечек персональных данных за 2022 год, рассмотрены предложения по повышению защищенности персональных данных граждан, в частности, предложения в области независимого аудита состояния защищенности организаций, ужесточения ответственности компаний за утечку персональных данных, а также ряд других актуальных мер.
Открывая заседание, председатель Комитета Госдума по информационной политике Александр Хинштейн подчеркнул, что вопрос защиты пользовательских данных играет основополагающее значение для государства. Развитие цифровой среды влечёт за собой всё больший объём данных в обороте, и только гарантируя безопасность пользователей, можно говорить об устойчивом развитии и технологическом лидерстве.
«Мы сегодня живем в условиях необъявленной кибервойны. Я рад тому, что цели злоумышленников не достигнуты. Для нас самым важным было получить от мероприятия практический результат — понять, требуются ли какие-либо законодательные изменения, чтобы работа по защите цифрового контура нашей страны велась максимально эффективно», – подчеркнул Александр Хинштейн.
Участники встречи обсудили масштабы и причины возросших киберугроз по итогам предыдущего года. Так, по данным Центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар», 2022 год стал беспрецедентным по числу попыток атак на ИТ-инфраструктуру Российской Федерации, а также утечек персональных данных граждан.
По словам Президента «Ростелекома» Михаила Осеевского: «В 2022 году всем цифровым компаниям пришлось работать в условиях беспрецедентной кибервойны. Интенсивность и сложность атак на ИТ-инфраструктуру страны из-за рубежа возросли многократно. Однако мы не сломались. Несмотря на все эти усилия, в целом были обеспечены устойчивость критической информационной инфраструктуры и стабильность оказания цифровых сервисов. Гигантские усилия киберпреступники приложили к “хищению” персональных данных. Особых успехов им достичь не удалось, но с помощью разного рода манипуляций они раздували масштаб своих “достижений” и якобы нанесенного ущерба. Мы научились быстро распознавать эти фейки и не тратить на них время. В целом, уроки прошлого года в сфере информационной безопасности сделали нас более сильными, опытными, стрессоустойчивыми, готовыми к любым неожиданностям».
Также глава Минцифры Максут Шадаев рассказал о запуске программы баг-баунти на Госуслугах и ЕСИА: «Сегодня мы вместе с “Ростелекомом“ объявляем большую программу публичного поиска уязвимостей – багбаунти. “Ростелеком” в случае нахождения уязвимости будет выплачивать достаточно серьезное финансовое вознаграждение, которое зависит от критичности найденной уязвимости».
Старший вице-президент по информационной безопасности ПАО «Ростелеком», генеральный директор «Ростелеком-Солар» Игорь Ляпунов отметил важность сбалансированного похода к защите персональных данных. «Надо всегда работать над повышением безопасности данных, особенно в текущее время. Ужесточение ответственности за утечки, конечно, будет являться важным стимулом для компаний. Но вводить такую норму закона необходимо максимально сбалансировано. В первую очередь, следует обратить внимание на вопрос расследования инцидентов и доказательство факта утечки, а это очень непростая задача, так как источник большинства утекающих массивов данных сложно однозначно идентифицировать. На данный момент какое-то количество данных пользователей уже утекло в сеть – злоумышленники могут их просто «переупаковывать» и выдавать за новые, в том числе, и с целью давления на бизнес и дестабилизацию ситуации в стране», - сказал глава «Ростелеком-Солар».
Заместитель директора ФСТЭК России Виталий Лютиков указал на то, что более 80% всех инцидентов с конфиденциальными данными происходит в результате ошибок пользователей или из-за неприменения организациями необходимых средств защиты. Организациям необходимо выстраивать риск-ориентированную защиту: в зависимости от угроз подбирать меры защиты, исходя из баланса защищенности и стоимости технических средств. Также было отмечено, что значительная часть проникновений в организации происходит через подрядчиков, а в случае с государственными информационными ресурсами – через участников разработки и функционирования государственных информационных систем. Требования по информационной безопасности на сегодня к этим подрядчикам не установлены, из-за чего возникает проблема с их привлечением к ответственности. Предложение по определению требований обеспечения безопасности государственных информационных систем вне зависимости от того, где их информационная инфраструктура расположена, уже подготовлено.
Подводя итоги заседания, участники отметили, что тема персональных данных очень чувствительна, и нужно работать над дополнительными мерами и расширением полномочий различных органов по их защите. Необходимо усиливать направления нормативного регулирования защиты объектов критической информационной инфраструктуры, где в том числе обрабатываются персоналные данные, а также вопросы каскадирования нормативной базы на отрасли, чтобы возникало отраслевое регулирование объектов КИИ.