Pages - Menu

Страницы

26.11.18

Безопасность - это не право, а привилегия

В четверг довелось мне в рамках RIW модерировать секцию "Выбор пользователя: полная анонимность или полное доверие - поиск "золотой середины" в рамках мини-конференции "Большие данные и приватность в интернете", которая изначально планировалась как площадка для дискуссии по теме Big Data. В процессе подготовки к мероприятию я столкнулся с интересной дилеммой - в мире Big Data - это в первую очередь технологии, а в России - законодательство. Отсюда и некоторая рассинхронизация в дискуссии, которая предсказуемо скатилась в обсуждение персональных/пользовательских данных. Одним из рассматриваемых кейсов я взял известную летнюю историю про индексацию Яндексом документов Google. У участников дискуссии я спросил: "Кто несет ответственность за то, что произошло?" и вот тут меня поджидал некоторый сюрприз.

Представители Яндекса и Group-IB высказали мысль, что спасение утопающих - дело рук самих утопающих, то есть виноват сам пользователь. Отчасти я, конечно, согласен с тем, что пользователи должны чуть более внимательно относиться к настройкам приватности того, что они выкладывают в Интернет. И касается это не только документов, но и профилей соцсетей, фотографий, переписок в мессенджерах и т.п. И вот тут в дискуссию вступил Георгий Грицай из АНО "Цифровая экономика", который высказал, показавшуюся мне сначала крамольной, мысль, что безопасность - это не право, а привилегия и ее надо заслужить или оплатить. Иными словами, Интернет-компании не обязаны тратить все свои силы на безопасность пользовательских данных, а пользователь будет сидеть и ничего не делать, ожидая, что провайдер Интернет-услуг все сделает за него. Конечно ничего не делать тоже можно, но тогда надо переложить всю ответственность на кого-то.

И вот тут мы подходим к интересной ситуации. Как-то для одной из презентаций я рисовал вот такую картинку, которая показывает градацию видов ИБ по масштабу ее действия - личная, корпоративная, национальная и международная.


Если немного отвлечься от нашей профессиональной деятельности и поставить себя на место рядового пользователя, то кто отвечает за нашу безопасность на улицах города? А в гражданской авиации? А от террористов? Государство! Мы справедливо полагаем, что национальная безопасность - это наше право и обязанность государства. Это вытекает из публичных правоотношений между нами и страной, гражданами которой мы являемся. Тут вроде все нормально и вопросов эта концепция не вызывает. А вот дальше наступает коллизия. Мы публичное право пытаемся натянуть на частные отношения пользователя и Интернет-компании. Мы по-прежнему считаем, что Интернет-компания должна нас защищать - от вредоносов, от утечки, от DDoS. И в этом кроется основная проблема. В случае права частного - безопасность перестает быть нашим правом, а является предметом договоренностей между сторонами договора (даже если это коллективный договор или договор-офферта).

Вспомните договора, заключаемые между юрлицами. Только за то, что в них написано, компании и отвечают. Есть там раздел по конфиденциальности? Выполняем требования по защите. Нет? Не выполняем. Произошла утечка данных - отвечаем только в случае нашей обязанности защищить данные, которые прописана в договоре. Все логично. Но эта же логика применима и к договорам между физлицом и юрлицом, но пользователь это не всегда понимает и транслирует обязанности государства на частные компании. Отчасти изменению этой логики мешает законодательство по персональным данным, которые превращает защиту ПДн в право гражданина (и обязанность оператора ПДн), а он начинает его распространять на все данные, а не только те, которые определены в ФЗ-152.

В итоге недовольство пользователей, которые считают, что им все должны и должны бесплатно, и недовольство компаний, которые не понимают, почему должны именно они и должны задаром. Ситуацию исправить могло бы принятие основ госполитики в области формировании культуры ИБ, которые готовились несколько лет назад, но увы. Пользователь по-прежнему будет считать, что защита его данных в Интернете - это не его обязанность, а Интернет-компаний.

Да, не стоит думать, что я считаю, что Интернет-компании ни в чем не виноваты и не должны предпринимать усилий по ИБ. Должны, но либо в рамках повышения своей репутации, либо договорных обязательств. А пользователям стоит чуть больше задумываться о собственной гигиене в Интернет.

ЗЫ. Презентация-подстрочник, как иллюстративный ряд к дискуссии на секции.




1 комментарий:

  1. Очевидна проблема системной регламентации политики управления доступом (ПУД) для разных типов информационных отношений, в том числе для физических лиц, как одного из типовых субъектов доступа. ПУД имеется в законодательстве (ПДн, КТ, ТС, банковская тайна, инсайд и т.п.), но в не системном виде. Это результат формирования ПУД юристами, разрабатывающими законодательство РФ, которые плохо понимают задачи ИБ. В условиях «Цифровой экономики» придется формализовать ПУД для разных типов информационных отношений (например, B2B, G2C, G2G, C2C, B2C, M2M и т.п., в том числе с иностранными B, G, C, М). Не будет регламентации ПУД, не будет ЦЭ, потому что риски ИБ для C, B, G, М будут слишком высокими. Какие проблемы потребуется решить: 1. Составить перечень типовых информационных отношений. 2. Оценить потенциальный ущерб для разных типов информационных отношений. 3. Формализовать правовые отношения между типами субъектов и категориями информации (чья собственность?). 4. Разработать шкалу рисков для разных типов информационных отношений. 5. Разработать шкалу безопасности (доверия) коррелирующую со шкалой типовых ИО. 6. Для каждого уровня шкалы безопасности разработать «профили защиты» (пока без учета используемых информационных технологий, т.е. требования/рекомендации к идентификации, аутентификации, шифрованию, обезличиванию и т.п.). 7. Регламентировать все это в законодательстве РФ и международных договорах/стандартах.
    В части физических лиц. В целях обеспечения ст. 23 Конституции РФ требуется переход к парадигме собственника информации о физическом лице, который должен распоряжаться этими данными (в том числе при договорных отношениях с третьими лицами). В обязательном порядке информация может и должна передаваться государственным органам только в минимальном объеме, который необходим для идентификации физического лица и его прав (например, прав собственности). Другие сведения, например, для статистики, органы гос. власти должны получать только в обезличенном виде, в том числе при обработке «больших пользовательских данных». Должен быть законодательный запрет на сбор и анализ этих данных (профилей пользователей) без явного согласия. Все остальные сведения должны обезличиваться, обеспечиваться анонимные информационные отношения, в тех случаях когда не требуется обязательная или отложенная идентификация/аутентификация. При договорных отношениях физическое лицо может соглашаться на передачу сведений о себе в каких-то его интересах, но должны быть законодательные ограничения для бизнеса, в том числе по организации процессов обработки таких данных, которая позволяла бы контролировать их распространение, уничтожение и т.п. Эти требования должны выставляться разработчикам прикладного ПО.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.