Уцечку ў Сеціва 26 мільярдаў запісаў вагой 12 тэрабайт, якая адбылася на днях, спецыялісты назвалі «маці ўсіх уцечак» — такой буйной страты даных яшчэ не здаралася, а тэндэнцыя крадзяжоў асабістых звестак грамадзян будзе толькі ўзрастаць, лічаць эксперты. Злачынцы працягваюць апераджаць сістэмы абароны аператараў, якія апрацоўваюць персанальныя даныя людзей, і авалодваюць інфармацыяй. А «дапамагаюць» ім у гэтым магчымасці штучнага інтэлекту, які, на думку спецыялістаў, карыстаючыся «лічбавымі слядамі», што людзі самі пакідаюць пра сябе ў інтэрнэце, можа быць здольны абысці ўжо нават біяметрычныя параметры абароны, фактычна ствараючы лічбавага двайніка асобы. Актуальныя пытанні абароны персанальных даных (ПД), у прыватнасці праект Указа, які прапануе ўмацаваць лакалізацыю, то-бок вызначыць патрабаванні да апрацоўкі ПД асабліва ўразлівай інфармацыі на тэрыторыі Беларусі, больш за сотню экспертаў абмяркоўвалі на тэматычнай канферэнцыі ў сталіцы. Гаворка пра інфармацыю, якая складае таямніцу, што ахоўваецца законам: банкаўскую, урачэбную, натарыяльную, тэлефонных і іншых паведамленняў, аб апрацоўцы біяметрычных і генетычных ПД, апрацоўцы асабістых звестак непаўналетніх.
«Зліў» асабістай інфармацыі ў Сеціва адбываецца бадай што ва ўсіх краінах свету. У Беларусі спецыялістамі Нацыянальнага цэнтра абароны персанальных даных за два гады работы было выдалена больш як 22 мільёныданых беларусаў, якія незаконна апрацоўваліся, у тым ліку 2,3 мільёна ўнікальных запісаў. З гэтай лічбы каля 100 тысяч запісаў былі выдалены ў выніку скаргаў грамадзян, а амаль 2,2 мільёна — у выніку дзейнасці Цэнтра. Пры гэтым каля 600 тысяч з 2,2 мільёна яшчэ не паспелі трапіць у Сеціва, расказаў Андрэй Гаеў, дырэктар Нацыянальнага цэнтра абароны персанальных даных (НЦАПД).
— Усё гэта — сведчанне таго, што ў свеце ідзе вайна за ПД, якія сталі ўжо значнай сацыяльна-эканамічнай каштоўнасцю, і збіраць гэтую інфармацыю дапамагаюць у тым ліку і тэхналогіі штучнага інтэлекту. Сёння дзейнасць многіх структур скіравана не толькі на канструктыў (рабіць жыццё чалавека больш зручным, дазваляць хутчэй вырашаць задачы і развіваць нацыянальную эканоміку), але і на злаўмысныя мэты (маніпуляцыі, кампраментацыі, шантажу, палітычнай агітацыі). «Лічбавыя партрэты» людзей, якія ствараюцца па слядах наведвання імі пэўных рэсурсаў, збіраюцца і дазваляюць рабіць уздзеянне на чалавека пунктавым.
У нашай краіне пытанням абароны персанальных даных надаецца пільная ўвага, гэта тэма замацавана канстытуцыйна і набывае гучанне ў іншых стратэгічных дакументах, накшталт Канцэпцыі прававой палітыкі, праекта Канцэпцыі нацыянальнай бяспекі, Указа Прэзідэнта № 40 аб кібербяспецы, дадаў дырэктар Цэнтра:
— Умацавана работа па інфармаванні людзей аб іх правах, магчымасцях, гарантыях рэалізацыі правоў ў сферы абароны даных. Разуменне грамадзянамі значнасці асабістай інфармацыі, сацыяльнай каштоўнасці даных істотна павысілася. Людзі актыўна карыстаюцца сваімі правамі, яны сталі больш абачліва ставіцца да выкарыстання інфармацыі аб сабе і сваяках. Гэта пацвярджае і характар зваротаў у Цэнтр: летась было ўдвая больш скаргаў на парушэнні правоў, чым за 2022-і.
Людзей найбольш хвалююць напрамкі, звязаныя з работай рытэйлаў, — яны скардзяцца на празмерны збор інфармацыі, на паступленне без іх згоды рэкламных паведамленняў і званкоў; скардзяцца таксама на дзеянні таварыстваў уласнікаў, у прыватнасці на збор біяметрычных даных для ўваходу ў пад’езды, на ўсталяванне камер відэаназірання на рабоце.
— Цяпер апрацоўваць ПД як раней у бізнесу не атрымаецца, бо людзі разумеюць свае праавы і імкнуцца іх рэалізоўваць. Сёння сацыяльная адказнасць бізнесу не можа існаваць без паважлівага стаўлення да ПД чалавека.
Пытанне абароны ПД напрамую звязаны з развіццём лічбавізацыі ў розных галінах. Адпаведна, узрастае і аб’ём праблем, з якімі сутыкаецца Цэнтр, дадала Ганна Рабава, намеснік міністра сувязі і інфарматызацыі:
— Мы ўсе як грамадзяне хочам зберагчы сваю персанальную прастору, аднак пры гэтым атрымліваць паслугі ў самым камфортным выглядзе. Ужо год як дзейнічае электронная сістэма па рабоце са зваротамі грамадзян, і палова запытаў ад іх паступае з пытаннямі, чаму так складана ўваходзіць у сістэму і такая складаная сістэма ідэнтыфікацыі, а палова перажывае, каб ПД не ўцяклі. У гэтым мы ўсе: і хочам, і баімся — ці будзе атрыманых плюсаў больш, чым рызык. Часам тэлефон прапануе нам рэчы, пра якія мы толькі падумалі, і гэта пужае і здзіўляе. І чым больш мы даём пра сябе інфармацыі, тым больш даных, якія дазваляюць намацаць у нас кропкі фізічнай і эмацыйнай уразлівасці. Нядобрасумленныя карыстальнікі ПД апераджаюць нас па інтэнсіўнасці развіцця сродкаў для іх крадзяжу. І гэта традыцыйная гонка паміж тымі, хто прывык жыць па законе (яны больш статычныя), і тымі, хто яго парушае (яны ўвесь час у руху).
Спецыяліст нагадала і пра небяспеку гульняў са штучным розумам, калі людзі знаходзяцца ў стадыі радасці немаўлят ад створанага рэсурсу. Яна дадала, што ў інфармацыйныя сістэмы, якія ствараюцца, закладваюцца тэхнічныя абмежавальнікі, і яны павінны быць дакладна ўвязаны з нарматыўнымі абмежавальнікамі.
Магчымасці штучнага інтэлекту (ШІ) трэба нарматыўна рэгуляваць, каб былі рамкі яго магчымасцяў, пагадзіўся з гэтым Андрэй Гаеў:
— Ужо былі спробы збору праз сістэму штучнага інтэлекту звестак для складання лічбавага партрэта чалавека. Магчымасці ШІ дазваляюць ужо нават без біяметрычных даных, якія ўцяклі ў сеціва, а проста на падставе збору звестак па фатаграфіях, голасе, пэўных аспектаў знаходжання чалавека ў Сеціве сабраць біяметрычныя звесткі і абысці сістэмы абароны. Ёць і спробы выкарыстаць такую інфармацыю для атрымання крэдытаў і іншых фінансавых аперацый.
Летась спецыялісты Цэнтра правялі больш за 200 кантрольных мерапрыемстваў. У 18 выпадках накіраваны матэрыялы для прыцягнення вінаватых да адміністрацыйнай адказнасці. У некалькіх сотнях выпадкаў былі ўзбуджаны крымінальныя справы ў дачыненні да незаконнага збору і апрацоўкі ПД у Беларусі.
— Работа працягнецца і надалей, — запэўніў Андрэй Гаеў. — Найперш гаворка аб наданні дзейнасці Цэнтра комплекснага завершанага характару, каб яго спецыялісты мелі паўнамоцтвы складаць пратаколы на парушальнікаў, не звяртаючыся да органаў унутраных спраў. Неабходна таксама павышаць памеры штрафных санкцый, бо для юрыдычных асоб максімальны штраф за непрыняцце мер па абароне ПД зараз 50 базавых велічынь. Гэта непараўнальна мала з памерамі затрат, якія неабходна панесці бізнесу, каб абараніць нашы з вамі правы. І многія такім чынам проста адкупаюцца мінімальнымі сумамі ад сваіх абавязкаў.
У Расіі літаральна год таму чарговы раз павысілі штрафы, і за апрацоўку ПД без згоды чалавека аператар мусіць заплаціць 1,5 мільёна расійскіх рублёў (звыш 53,6 тысячы беларускіх рублёў). А Дзярждумай у першым чытанні прыняты законапраект, згодна з якім інцыдэнты з базамі даных да 10 тысяч адзінак інфармацыі будуць карацца штрафамі да пяці мільёнаў расійскіх рублёў (больш як 184,2 тысячы беларускіх), а звыш 100 тысяч запісаў — штрафам у 15 мільёнаў (каля 553 тысяч беларускіх). Пры паўторным парушэнні патрабуецца вызначаць суму штрафу да 3% ад выручкі за год да 500 мільёнаў рублёў. Беларусі таксама трэба працаваць у гэтым кірунку, упэўнены Андрэй Гаеў і дадаў, што зараз яны сумесна з Мінінфармам працуюць над парадкам блакіроўкі доступу да інфармацыйных рэсурсаў у выпадку парушэння імі апрацоўкі ПД:
— Неабходна ў масіве інфармацыі, якая збіраецца, выключыць апрацоўку таго, што непатрэбна. Дакладна вызначыць патрэбы ў выкарыстанні асабістай інфармацыі і замацаваць гэта нарматыўна.
Ва ўзаемадзеянні з бізнесам спецыялісты Цэнтра бачаць нераскрыты патэнцыял у кірунку стварэння комплексных прадуктаў — тэхналагічных алгарытмаў, якія дазволяць апрацоўку ПД у канкрэтных інфармацыйных рэсурсах канкрэтных арганізацый. Магчыма, будуць выпрацаваны сектаральныя рэкамендацыі (кодэксы паводзін) бізнесу ў апрацоўцы ПД.
У рамках Указа Прэзідэнта № 40 аб кібербяспецы ў Беларусі павінны стварацца кіберцэнтры па супрацьдзеянні кіберпагрозам і рэагаванні на кібератакі. Падобныя кіберцэнтры ствараюцца, у прыватнасці, у банкаўскай сферы. Мяркуецца, што да красавіка 2025 года ўся банкаўская сістэма будзе мець свае кіберцэнтры або набываць паслугу па абароне ў рамках кіберцэнтра, заўважыла Іна Лягчылава, начальнік упраўлення абароны персанальных даных у фінансавай сферы:
— Асаблівасць абароны банкаўскай сферы ў тым, што большасць банкаўскіх прадуктаў, якія прапануюцца, утрымліваюць ПД. Усе мы прывыклі, што інструменты, якія прапануюцца, вельмі зручныя, тэхнічныя і хуткія для людзей. Кібератакі ідуць непасрэдна на інфармацыйную сістэму. Таму неабходна сукупнае стварэнне прававога, тэхналагічнага поля і непасрэдна кантролю і маніторынгу. З 1 сакавіка ўступае ў сілу Указ Пэзідэнта № 269 аб несанкцыянаваных плацежных аперацыях, дзе будзе распрацаваны механізм сукупнасці дзеянняў банкаў і праваахоўных органаў.
Ірына СІНІЦА
Фота аўтара
З мастацтвам па жыцці.
Баявое ўзаемадзеянне найвышэйшага ўзроўню.
«Дзесяцігоддзі школьнае харчаванне нашых дзяцей будавалася на аснове зборніка рэцэптур».
