По данным исследования ГК InfoWatch, за 2022 год в России количество утекших записей персональных данных и платежной информации выросло в 2,67 раза по сравнению с предыдущим годом и составило более 667 млн единиц. Таким образом, число скомпрометированных записей в прошлом году более чем в 4,5 раза превысило население страны.
Мы решили узнать у экспертов по защите данных, как изменился их подход к работе за последние три года, какие задачи стоят перед ними сегодня, и достижима ли в принципе приватность в современном мире.
Мы решили узнать у экспертов по защите данных, как изменился их подход к работе за последние три года, какие задачи стоят перед ними сегодня, и достижима ли в принципе приватность в современном мире.
Илья Шаленков
Руководитель Группы по оказанию услуг в области кибербезопасности Kept
Важно помнить о гигиене данных — бережно относиться к тому, кому, зачем и на каких условиях мы их предоставляем
За последние три года работа сотрудников, отвечающих за организацию обработки персональных данных (DPO), стала значительно сложнее. Во времена пандемии пришлось заново выстраивать процессы работы с данными, теперь уже в удаленном формате. Увеличились количество и состав обрабатываемой информации, например, добавились сведения о состоянии здоровья сотрудников компаний (показатели температуры, сведения о вакцинации и т. п.).
В начале 2022 года специалисты в сфере персональных данных столкнулись с санкционными ограничениями и отказом западных компаний в предоставлении ряда технических и программных средств. Многие компании переориентировались на работу с новыми контрагентами из дружественных стран. DPO пришлось погружаться в специфику иных средств обработки и защиты ПДн, а также изучать другие юрисдикции. Одновременно с этим были внесены значительные изменения и в российское законодательство в сфере обработки и защиты ПДн.
В случае с целенаправленными атаками, с которыми сейчас имеют дело российские компании, вероятность негативных сценариев развития событий значительно повышается. В сложившейся ситуации оптимальным вариантом видится построение функции приватности таким образом, чтобы минимизировать вред субъекту даже при неправомерном доступе к данным. Среди методов защиты данных можно выделить: обезличивание, разделение по базам (например, когда ФИО хранится отдельно от номера телефона), использование шифрования данных при передаче и хранении в сторонних базах.
В начале 2022 года специалисты в сфере персональных данных столкнулись с санкционными ограничениями и отказом западных компаний в предоставлении ряда технических и программных средств. Многие компании переориентировались на работу с новыми контрагентами из дружественных стран. DPO пришлось погружаться в специфику иных средств обработки и защиты ПДн, а также изучать другие юрисдикции. Одновременно с этим были внесены значительные изменения и в российское законодательство в сфере обработки и защиты ПДн.
В случае с целенаправленными атаками, с которыми сейчас имеют дело российские компании, вероятность негативных сценариев развития событий значительно повышается. В сложившейся ситуации оптимальным вариантом видится построение функции приватности таким образом, чтобы минимизировать вред субъекту даже при неправомерном доступе к данным. Среди методов защиты данных можно выделить: обезличивание, разделение по базам (например, когда ФИО хранится отдельно от номера телефона), использование шифрования данных при передаче и хранении в сторонних базах.
Мы также не должны забывать о важной роли нас самих как субъектов данных в процессах обеспечения приватности. Все-таки полноправным владельцем данных является сам человек (клиент, работник, партнер), а не компания. Чем больше мы делимся своими данными с неограниченным кругом лиц, тем выше вероятность утечки. Поэтому в первую очередь следует помнить о гигиене данных, то есть бережно относиться к тому, кому, зачем и на каких условиях мы их предоставляем.
За последний год российские пользователи лишились многих привычных сервисов, на замену которым сегодня в авральном режиме разрабатываются новые, и зачастую это происходит «на коленке», в том числе с точки зрения безопасности. Но мы в погоне за привычным удобством иногда не видим рисков или же для быстроты получения сервиса идем на них, не думая о последствиях.
Мы привыкли, что данные — это что-то легко отчуждаемое и отдельное от нас, как только мы их произнесли или ввели в форме на сайте. Но данные являются продолжением и собственностью человека, хоть и нематериальной. Поэтому если мы начнем относиться к данным с таким же вниманием, как, например, к своему физическому здоровью, применяя в случае необходимости меры защиты, то и страдать от утечек мы будем гораздо меньше.
Мы привыкли, что данные — это что-то легко отчуждаемое и отдельное от нас, как только мы их произнесли или ввели в форме на сайте. Но данные являются продолжением и собственностью человека, хоть и нематериальной. Поэтому если мы начнем относиться к данным с таким же вниманием, как, например, к своему физическому здоровью, применяя в случае необходимости меры защиты, то и страдать от утечек мы будем гораздо меньше.
Иван Черевко
Директор по защите данных «Яндекса»
Одна из основных проблем — поиск баланса между приватностью и удобством пользовательского опыта
В последние три года ситуация в мире значительно изменилась: эпидемия COVID-19 и санкционные ограничения, а именно выросшая с ними интернет-активность и количество кибератак, наглядно продемонстрировали, как важно обеспечивать безопасность персональных данных. Вместе с ростом числа и интенсивности киберугроз компании увеличили инвестиции в информационную безопасность и приватность пользователей.
Защита данных сегодня — это сложная задача, стоящая перед каждым бизнесом. Одной из основных проблем является поиск баланса между соблюдением приватности и удобством пользовательского опыта. Многие необходимые для пользователей функции требуют активного сбора и использования их данных. В то же время ограничения могут лишить пользователей определенных возможностей и сделать сервисы менее удобными для них.
Единственным выходом из данной ситуации является повышение прозрачности и контроля со стороны пользователей. Так, они сами могут определить свой баланс между приватностью и удобством.
«Яндекс», к примеру, еще в 2021 году запустил инструмент для управления данными пользователей, позволяющий запросить архив с информацией, которую накопили о них разные сервисы «Яндекса», а также удалить свои данные из отдельных сервисов. Таким образом, у пользователей есть и понимание того, какие данные о них собраны, и контроль над тем, какие данные хранятся в контуре экосистемы.
Защита данных сегодня — это сложная задача, стоящая перед каждым бизнесом. Одной из основных проблем является поиск баланса между соблюдением приватности и удобством пользовательского опыта. Многие необходимые для пользователей функции требуют активного сбора и использования их данных. В то же время ограничения могут лишить пользователей определенных возможностей и сделать сервисы менее удобными для них.
Единственным выходом из данной ситуации является повышение прозрачности и контроля со стороны пользователей. Так, они сами могут определить свой баланс между приватностью и удобством.
«Яндекс», к примеру, еще в 2021 году запустил инструмент для управления данными пользователей, позволяющий запросить архив с информацией, которую накопили о них разные сервисы «Яндекса», а также удалить свои данные из отдельных сервисов. Таким образом, у пользователей есть и понимание того, какие данные о них собраны, и контроль над тем, какие данные хранятся в контуре экосистемы.
Достижима ли полная приватность данных в современном мире? К сожалению, стоит признать, что он мало дружественен к данному понятию. Однако это не означает, что пользователи обречены на потерю своей конфиденциальности.
Например, пользуясь браузерами с защитой от трекинговых cookies, осмысленно раздавая чувствительные разрешения приложениям на телефонах и т. д., пользователь по-прежнему может контролировать состав и получателей своих данных.
Поэтому правильный баланс приватности можно найти, если пользоваться сервисами компаний, которые приоритизируют прозрачность и контроль со стороны пользователей.
Выводы следующие: за последние три года сложность задачи защиты персональных данных существенно возросла, и компании увеличили инвестиции в обеспечение безопасности и приватности пользователей. Важно найти баланс между приватностью и удобством пользовательского опыта, что может быть достигнуто только при повышении прозрачности и контроля со стороны пользователя. Полная приватность данных в современном мире сложно достижима, но за счет технологий и сервисов, которые уделяют особое внимание безопасности и контролю над данными, возможно найти оптимальный баланс.
Для поддержания этого баланса компаниям стоит стремиться к созданию понятных и прозрачных политик использования данных, активно информировать пользователей о возможностях контроля и предоставлять инструменты для управления данными. Таким образом, пользователи смогут принимать осознанные решения о том, какую информацию они готовы предоставлять и с какой целью.
Обеспечение безопасности данных пользователей является важной и сложной задачей для современного бизнеса. Но при должном внимании к прозрачности, контролю со стороны пользователя, обучению сотрудников и использованию передовых технологий компании и пользователи смогут найти оптимальный баланс между приватностью и удобством, обеспечивая при этом максимально возможную защиту данных.
Поэтому правильный баланс приватности можно найти, если пользоваться сервисами компаний, которые приоритизируют прозрачность и контроль со стороны пользователей.
Выводы следующие: за последние три года сложность задачи защиты персональных данных существенно возросла, и компании увеличили инвестиции в обеспечение безопасности и приватности пользователей. Важно найти баланс между приватностью и удобством пользовательского опыта, что может быть достигнуто только при повышении прозрачности и контроля со стороны пользователя. Полная приватность данных в современном мире сложно достижима, но за счет технологий и сервисов, которые уделяют особое внимание безопасности и контролю над данными, возможно найти оптимальный баланс.
Для поддержания этого баланса компаниям стоит стремиться к созданию понятных и прозрачных политик использования данных, активно информировать пользователей о возможностях контроля и предоставлять инструменты для управления данными. Таким образом, пользователи смогут принимать осознанные решения о том, какую информацию они готовы предоставлять и с какой целью.
Обеспечение безопасности данных пользователей является важной и сложной задачей для современного бизнеса. Но при должном внимании к прозрачности, контролю со стороны пользователя, обучению сотрудников и использованию передовых технологий компании и пользователи смогут найти оптимальный баланс между приватностью и удобством, обеспечивая при этом максимально возможную защиту данных.
Михаил Ратушный
Руководитель практики защиты персональных данных, DPO Ozon
Приватность возможна, только когда все, кто работает с персданными, понимают их ценность и значимость
Внезапно возникший удаленный формат работы в начале пандемии заставил нас в значительной мере ужесточить правила доступа к персональным данным и порядку работы с конфиденциальной информации в целом. Очевидно, что сложность была в том, чтобы найти баланс: рабочие процессы не должны страдать от комплаенса ради комплаенса, но в то же время жертвовать приватностью мы ни в коем случае не хотели.
Мы также серьезно пересмотрели подход к использованию внешнего ПО, особенно облачных решений, и начали активно развивать собственную ИТ-инфраструктуру — разработка необходимых сервисов для различных нужд Ozon в основном осуществляется силами внутренней команды разработчиков.
Команда Ozon Privacy тесно взаимодействует с разработчиками. В частности, мы формируем конкретные требования, которые создаваемые сервисы должны удовлетворять, — так мы всегда можем быть уверены, что обработка клиентских данных в таких сервисах является безопасной и соответствует законодательству.
В этом смысле Ozon за последние три года стал более зрелым в вопросах приватности: бизнес, юристы, безопасность, ИТ и другие направления фактически работают в одной команде, чтобы обеспечивать продуктовый комплаенс. При этом защита данных не воспринимается как разовый результат в виде написания политик и положений — все понимают, что это постоянный процесс, который требует поддержания и определенного вложения в виде ресурсов. Сейчас в приватности становятся заинтересованы все ключевые стейхолдеры компании, а мы постепенно переходим от решения разрозненных задач к более проектной деятельности — например, по внедрению в различные процессы компании принципов privacy by design.
Ozon также активно развивается не только в России, но и за ее пределами. Наверное, самой большой проблемой в связи с этим является то, как примирить между собой порой абсолютно отличные друг от друга режимы защиты персональных данных. Это, например, проявляется в необходимости учитывать правила трансграничной передачи персональных данных, которые могут быть достаточно жесткими, или «приземлять» в том или ином виде информационные системы на территории иностранных государств.
Мы также серьезно пересмотрели подход к использованию внешнего ПО, особенно облачных решений, и начали активно развивать собственную ИТ-инфраструктуру — разработка необходимых сервисов для различных нужд Ozon в основном осуществляется силами внутренней команды разработчиков.
Команда Ozon Privacy тесно взаимодействует с разработчиками. В частности, мы формируем конкретные требования, которые создаваемые сервисы должны удовлетворять, — так мы всегда можем быть уверены, что обработка клиентских данных в таких сервисах является безопасной и соответствует законодательству.
В этом смысле Ozon за последние три года стал более зрелым в вопросах приватности: бизнес, юристы, безопасность, ИТ и другие направления фактически работают в одной команде, чтобы обеспечивать продуктовый комплаенс. При этом защита данных не воспринимается как разовый результат в виде написания политик и положений — все понимают, что это постоянный процесс, который требует поддержания и определенного вложения в виде ресурсов. Сейчас в приватности становятся заинтересованы все ключевые стейхолдеры компании, а мы постепенно переходим от решения разрозненных задач к более проектной деятельности — например, по внедрению в различные процессы компании принципов privacy by design.
Ozon также активно развивается не только в России, но и за ее пределами. Наверное, самой большой проблемой в связи с этим является то, как примирить между собой порой абсолютно отличные друг от друга режимы защиты персональных данных. Это, например, проявляется в необходимости учитывать правила трансграничной передачи персональных данных, которые могут быть достаточно жесткими, или «приземлять» в том или ином виде информационные системы на территории иностранных государств.
Если говорить о том, достижима ли приватность данных в современном мире, я бы сказал, что да, но не в классическом понимании. Всегда найдется кто-то, кто знает о нас больше, чем нам бы хотелось. Причем чаще всего разные лица знают о вас разрозненную информацию, которая по отдельности, может, и не представляет ценности, но объединение которой (например, в результате утечки) может иметь катастрофические последствия для вашей частной жизни.
В этом смысле в вопросах приватности высшую степень осмотрительности должен проявлять как бизнес, которому необходимо придерживаться четких, строгих и, главное, понятных правил в работе с персональными данными, так и сам субъект персональных данных, который должен осознанно подходить к тому, какой информацией и с кем он делится.
Приватность возможна только тогда, когда все причастные к работе с персональными данными понимают их ценность и значимость. «Новая» приватность — это не столько про конфиденциальность данных, сколько про осознанность в их обработке и контроль субъекта за тем, как и кем такая обработка осуществляется. А это как раз вполне достижимо, если все участники отношений понимают правила игры и придерживаются их.
Приватность возможна только тогда, когда все причастные к работе с персональными данными понимают их ценность и значимость. «Новая» приватность — это не столько про конфиденциальность данных, сколько про осознанность в их обработке и контроль субъекта за тем, как и кем такая обработка осуществляется. А это как раз вполне достижимо, если все участники отношений понимают правила игры и придерживаются их.
