Утечку в Сеть 26 миллиардов записей весом 12 терабайт, которая произошла на днях, специалисты назвали «Матерью всех утечек» — такой крупной потери данных еще не случалось, а тенденция хищений личных данных граждан будет только возрастать, считают эксперты. Преступники продолжают опережать системы защиты операторов, которые обрабатывают персональные данные людей, и овладевают информацией. А «помогают» им в этом возможности искусственного интеллекта, который, по мнению специалистов, пользуясь «цифровыми следами», что люди сами оставляют о себе в интернете, может быть способен обойти уже даже биометрические параметры защиты, фактически создавая цифрового двойника личности. Актуальные вопросы защиты персональных данных (ПД), в частности проект Указа, предлагающий укрепить локализацию, то есть определить требования к обработке ПД особо уязвимой информации на территории Беларуси, более сотни экспертов обсуждали на тематической конференции в столице. Речь об информации, составляющей тайну, охраняемую законом: банковскую, врачебную, нотариальную, телефонных и иных сообщений, об обработке биометрических и генетических ПД, обработке личных сведений несовершеннолетних.
«Слив» личной информации в Сеть происходит почти во всех странах мира. В Беларуси специалистами Национального центра защиты персональных данных за два года работы было удалено более 22 миллионы данных белорусов, которые незаконно обрабатывались, в том числе 2,3 миллиона уникальных записей. Из этой цифры около 100 тысяч записей были удалены в результате жалоб граждан, а почти 2,2 миллиона — в результате деятельности Центра. При этом около 600 тысяч из 2,2 миллиона еще не успели попасть в сеть, рассказал Андрей Гаев, директор Национального центра защиты персональных данных (НЦЗПД).
— Все это — свидетельство того, что в мире идет война за ПД, ставшие уже значительной социально-экономической ценностью, и собирать эту информацию помогают в том числе и технологии искусственного интеллекта. Сегодня деятельность многих структур направлена не только на конструктив (делать жизнь человека более удобной, позволять быстрее решать задачи и развивать национальную экономику), но и на зломыслящие цели (манипуляции, компроментации, шантажа, политической агитации). «Цифровые портреты» людей, создаваемых по следам посещения ими определенных ресурсов, собираются и позволяют делать воздействие на человека точечным.
В нашей стране вопросам защиты персональных данных уделяется пристальное внимание, эта тема закреплена конституционно и приобретает звучание в других стратегических документах, вроде Концепции правовой политики, проекта Концепции национальной безопасности, Указа Президента № 40 о кибербезопасности, добавил директор Центра:
— Укреплена работа по информированию людей об их правах, возможностях, гарантиях реализации прав в сфере защиты данных. Понимание гражданами значимости личной информации, социальной ценности данных существенно повысилось. Люди активно пользуются своими правами, они стали более осмотрительно относиться к использованию информации о себе и родственниках. Это подтверждает и характер обращений в центр: в прошлом году было вдвое больше жалоб на нарушения прав, чем за 2022-й.
Людей наиболее волнуют направления, связанные с работой ритейлов, — они жалуются на чрезмерный сбор информации, на поступление без их согласия рекламных сообщений и звонков; жалуются также на действия товариществ собственников, в частности на сбор биометрических данных для входа в подъезды, на установку камер видеонаблюдения на работе.
— Сейчас обрабатывать ПД как раньше у бизнеса не получится, так как люди понимают свои права и стараются их реализовывать. Сегодня социальная ответственность бизнеса не может существовать без уважительного отношения к ПД человека.
Вопрос защиты ПД напрямую связан с развитием цифровизации в различных областях. Соответственно, возрастает и объем проблем, с которыми сталкивается центр, добавила Анна Рябова, заместитель министра связи и информатизации:
— Мы все как граждане хотим сберечь свое персональное пространство, однако при этом получать услуги в самом комфортном виде. Уже год как действует электронная система по работе с обращениями граждан, и половина запросов от них поступает с вопросами, почему так сложно входить в систему и такая сложная система идентификации, а половина переживает, чтобы ПД не убежали. В этом мы все: и хотим, и боимся — будет ли полученных плюсов больше, чем рисков. Иногда телефон предлагает нам вещи, о которых мы только подумали, и это пугает и удивляет. И чем больше мы даем о себе информации, тем больше данных, позволяющих нащупать у нас точки физической и эмоциональной уязвимости. Недобросовестные пользователи ПД опережают нас по интенсивности развития средств для их хищения. И это традиционная гонка между теми, кто привык жить по закону (они более статичны), и теми, кто его нарушает (они постоянно в движении).
Специалист напомнил и об опасности игр с искусственным умом, когда люди находятся в стадии радости младенцев от созданного ресурса. Она добавила, что в создаваемые информационные системы закладываются технические ограничители, и они должны быть четко увязаны с нормативными ограничителями.
Возможности искусственного интеллекта (ИИ) нужно нормативно регулировать, чтобы были рамки его возможностей, согласился с этим Андрей Гаев:
— Уже были попытки сбора через систему искусственного интеллекта данных для составления цифрового портрета человека. Возможности ИИ позволяют уже даже без биометрических данных, сбежавших в сеть, а просто на основании сбора данных по фотографиям, голосу, определенным аспектам пребывания человека в Сети собрать биометрические данные и обойти системы защиты. Есть и попытки использовать такую информацию для получения кредитов и других финансовых операций.
В прошлом году специалисты Центра провели более 200 контрольных мероприятий. В 18 случаях направлены материалы для привлечения виновных к административной ответственности. В нескольких сотнях случаев были возбуждены уголовные дела в отношении незаконного сбора и обработки ПД в Беларуси.
— Работа продолжится и впредь, — заверил Андрей Гаев. — Прежде всего речь о придании деятельности Центра комплексного завершенного характера, чтобы его специалисты имели полномочия составлять протоколы на нарушителей, не обращаясь к органам внутренних дел. Необходимо также повышать размеры штрафных санкций, так как для юридических лиц максимальный штраф за непринятие мер по защите ПД теперь 50 базовых величин. Это несравнимо мало с размерами затрат, которые необходимо понести бизнесу, чтобы защитить наши с вами права. И многие таким образом просто откупаются минимальными суммами от своих обязанностей.
В России буквально год назад в очередной раз повысили штрафы, и за обработку ПД без согласия человека оператор должен заплатить 1,5 миллиона российских рублей (свыше 53,6 тысячи белорусских рублей). А Госдумой в первом чтении принят законопроект, согласно которому инциденты с базами данных до 10 тысяч единиц информации будут наказываться штрафами до пяти миллионов российских рублей (более 184,2 тысячи белорусских), а свыше 100 тысяч записей — штрафом в 15 миллионов (около 553 тысяч белорусских). При повторном нарушении требуется определять сумму штрафа до 3% от выручки за год до 500 миллионов рублей. Беларуси также нужно работать в этом направлении, уверен Андрей Гаев и добавил, что сейчас они совместно с Мининформом работают над порядком блокировки доступа к информационным ресурсам в случае нарушения ими обработки ПД:
— Необходимо в массиве собираемой информации исключить обработку того, что ненужно. Точно определить потребности в использовании личной информации и закрепить это нормативно.
Во взаимодействии с бизнесом специалисты Центра видят нераскрытый потенциал в направлении создания комплексных продуктов — технологических алгоритмов, которые позволят обработку ПД в конкретных информационных ресурсах конкретных организаций. Возможно, будут выработаны секторальные рекомендации (кодексы поведения) бизнеса в обработке ПД.
В рамках Указа Президента № 40 о кибербезопасности в Беларуси должны создаваться киберцентры по противодействию киберугрозам и реагированию на кибератаки. Подобные киберцентры создаются, в частности, в банковской сфере. Предполагается, что к апрелю 2025 года вся банковская система будет иметь свои киберцентры или приобретать услугу по защите в рамках киберцентра, заметила Инна Легчилова, начальник Управления защиты персональных данных в финансовой сфере:
— Особенность защиты банковской сферы в том, что большинство предлагаемых банковских продуктов содержат ПД. Все мы привыкли, что предлагаемые инструменты очень удобны, техничны и быстры для людей. Кибератаки идут непосредственно на информационную систему. Поэтому необходимо совокупное создание правового, технологического поля и непосредственно контроля и мониторинга. С 1 марта вступает в силу Указ Президента № 269 о несанкционированных платежных операциях, где будет разработан механизм совокупности действий банков и правоохранительных органов.
Ирина СИНИЦА
Фото автора
Совместные проекты ядерных технологий.
В повестке дня — утверждение концепции нацбезопасности и военной доктрины.
