10 февраля в Центре кибербезопасности «Ростелеком-Солар» прошло выездное заседание комитета Госдумы по информационной политике, информационным технологиям и связи. На встрече обсудили безопасность граждан и их информационных данных в информационной среде.
Участники поддержали необходимость повышения ответственности за утечки и незаконный оборот персональных данных (ПД) через создание сбалансированных мер экономического воздействия на операторов таких данных.
В работе выездного заседания поучаствовали: председатель комитета Госдумы Александр Хинштейн, министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев, президент «Ростелекома» Михаил Осеевский, старший вице-президент по информационной безопасности «Ростелекома» — генеральный директор «Ростелеком-Солар» Игорь Ляпунов, а также представители ФСТЭК, ФСБ России и Роскомнадзора.
В самом начале мероприятия глава Минцифры Максут Шадаев рассказал о запуске программы стресс-тестирования Госуслуг и ЕСИА, которое в том числе должно упредить технические возможности для утечки ПД:
«Сегодня мы вместе с компанией «Ростелеком» объявляем большую программу публичного поиска уязвимостей – баг-баунти, в которой может принять участие широкий круг айтишников. «Ростелеком» в случае нахождения уязвимости будет выплачивать достаточно серьезное финансовое вознаграждение, которое зависит от уровня ее критичности».
На заседании комитета Госдумы был представлен анализ статистики утечек персональных данных за 2022 год. Рассмотрены предложения по повышению защиты ПД, включая проведение независимого аудита состояния информационной безопасности организаций, ужесточение ответственности за утечку персональных данных, а также ряд других актуальных мер.
Председатель комитета Госдумы по информационной политике, ИТ и связи Александр Хинштейн подчеркнул, что вопрос защиты пользовательских данных имеет основополагающее значение для государства. Развитие цифровой среды влечет за собой увеличение объёма ПД, и только гарантируя безопасность пользователей, можно говорить об устойчивом развитии и технологическом лидерстве страны.
«Мы сегодня живем в условиях необъявленной кибервойны. Я рад, что цели злоумышленников не достигнуты. Для нас самым важным было получить от мероприятия практический результат — понять, требуются ли законодательные изменения, чтобы работа по защите цифрового контура нашей страны велась максимально эффективно», – отметил Александр Хинштейн.
Заместитель директора ФСТЭК России Виталий Лютиков указал на то, что более 80% инцидентов с конфиденциальными данными происходит в результате ошибок пользователей или из-за неприменения компаниями необходимых средств защиты. Организациям необходимо выстраивать рискориентированную защиту, исходя из угроз. Предстоит найти сбалансированное решение между высокой защищенностью и стоимостью технических средств. Также было отмечено, что значительная часть проникновений в организации происходит через подрядчиков, а в случае с государственными информационными ресурсами – через участников разработки и функционирования государственных ИТ-систем. Требования по информационной безопасности сегодня к этим подрядчикам не установлены, из-за чего возникает проблема с их привлечением к ответственности. Предложение по определению требований обеспечения безопасности государственных информационных систем вне зависимости от того, где их информационная инфраструктура расположена, уже подготовлено.
Подводя итоги заседания, участники отметили, что тема оборота и защиты персональных данных очень чувствительная и всегда должна быть в фокусе внимания законодателей. Необходимо усиливать направления нормативного регулирования, связанные с защитой объектов критической информационной инфраструктуры, где в том числе обрабатываются персональные данные, а также заниматься развитием отраслевого регулирования по этой тематике, которая бы учитывала соответствующую специфику.
