Контролировать оборот персональных данных россиян нужно не только в стране, но и за ее пределами, уверен глава Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн, который считает утечки данных одним из главных вызовов современности. В интервью «Парламентской газете» депутат рассказал, как государство планирует с ними бороться и в целом обеспечивать кибербезопасность страны и людей.
— Александр Евсеевич, помогут ли оборотные штрафы, которые Минцифры предлагает ввести для компаний, допустивших утечку персональных данных, прекратить поток таких инцидентов?
— Общая проблема сегодня — незначительность наказания и сложность доказывания вины конкретных ответственных. Действительно, многие операторы не предпринимают должных мер защиты, поэтому данные утекают. В связи с этим я поддерживаю усиление ответственности и появление новых составов.
Правоохранители сегодня практически не могут добраться до тех, кто распространяет и продает данные на интернет-ресурсах, делая это заведомо незаконно. В этой связи считаю правильным введение уголовной ответственности, если утечки привели к особо тяжким последствиям.
Ключевой вопрос — квалификация деяния. Как сделать так, чтобы ответственность несли те, кто действительно виноват. Потому что если хакеры взломали систему защиты и вытащили какие-то данные, важно понять, насколько эта защита была качественной. Надеюсь, те, кто разрабатывают законопроект, смогут предложить эффективные механизмы. Это нужно, чтобы стимулировать бизнес вкладываться в инфраструктуру защиты персональных данных, не экономя на этом.
— Вы выступили соавтором законопроекта, позволяющего российскому регулятору вмешиваться в обработку данных наших граждан за пределами страны. Зачем это понадобилось?
— Мы должны иметь возможность контролировать обработку персональных данных наших граждан на рубежом и понимать, как, где и для чего эта информация используется. Это еще одна мера защиты данных и самих людей. Отмечу, что принцип экстерриториальности — симметричная мера, такое же право по их законодательству есть у стран Евросоюза.
В сегодняшних реалиях контроль за тем, куда уходят персональные данные россиян, должен быть усилен. Речь в законопроекте идет о странах, которые не осуществляют должным образом защиту данных — списки таких государств ведет Роскомнадзор.
— Представители бизнеса опасаются прописанного в вашем законопроекте обязательного подключения к системе ГосСОПКА, это якобы потребует серьезных затрат и повысит нагрузку на функциональность системы.
— Коллег из бизнеса смущает формулировка «обеспечить постоянное взаимодействие». Мы поговорили с операторами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосCОПКА) и постараемся скорректировать текст законопроекта так, чтобы дополнительных инфраструктурных вложений при взаимодействии с ГосСОПКА у операторов персональных не возникало. Такое взаимодействие может быть обеспечено даже посредством электронной почты.
Законопроект не обязывает каждого оператора устанавливать у себя какое-либо оборудование. Норма означает, что они должны находиться во взаимодействии с этой системой, что идет вкупе с обязанностью операторов информировать Роскомнадзор обо всех инцидентах и утечках.
— В указе президента об усилении информационной безопасности предписано создать в каждой госорганизации должность или отдел по информационной безопасности, а также до 2025 года перейти к использованию отечественного софта. Насколько реально исполнение этих норм с учетом дефицита кадров в IT-сфере?
— Государство активно увеличивает подготовку IT-специалистов. В вузах в этом году будут выделены рекордные 80 тысяч бюджетных мест по соответствующим специальностям. Также введена возможность получения дополнительного образования по цифровым профессиям для тех, кто уже имеет высшее или среднее образование. Этот проект даст государству еще 100 тысяч специалистов.
Во многих компаниях уже есть такие специалисты или подразделения — приказ лишь сделает их создание обязательным, в необходимости чего вряд ли приходится сегодня сомневаться. Сайты и компьютерные сети есть и используются каждым ведомством, в том числе это каналы межведомственного взаимодействия. Очевидно, что обеспечением их безопасности должны заниматься не завхозы или бухгалтеры, а те, кто действительно в этом понимают.
Что касается программного обеспечения, то Минцифры представило перечень отечественных разработчиков, которые заместят зарубежные цифровые продукты. Надеюсь, что эти обязательства будут в полном объеме исполнены.
— В Следственном комитете предложили разработать новый порядок регистрации в соцсетях по паспорту. Как это можно реализовать?
— Вход в Интернет по паспорту — это некоторое утрирование. Речь могла бы идти о регистрации в соцсетях с помощью ЕСИА, то есть используя пароль от сайта госуслуг. Но на взгляд специалистов, сегодня по объективным причинам реализовать эту норму практически нереально. Люди начнут массово уходить из отечественных в иностранные соцсети, где это не требуется. Много и других вопросов. Что делать с юрлицами, пабликами, сообществами? Как быть с иностранцами? Что делать с несовершеннолетними?
Стратегически я согласен с тем, что будущее за деанонимизацией в Сети. Мы, причем не только Россия, но и весь мир, к этому придем. Вопрос лишь в готовности общества и технической проработке нюансов. Это должно стать определенным трендом, правилом приличия и хорошей традицией для каждого.
— Почему фейки в Сети стали большей угрозой, чем интернет-мошенники?
— Мы видим резкое сокращение количества преступлений имущественного характера в Сети. Число звонков мошенников стало кратно меньше. Специалисты связывают это с тем, что сейчас эти люди задействованы на гораздо более горячем направлении — в информационной войне против России. Если раньше страдал каждый гражданин в отдельности, то теперь — страна в целом, ведь информационные атаки, в том числе создание и использование фейков, направлены на всю страну. Это, правда, не означает, что преступность из Сети исчезла. Она осталась, также как кибербуллинг, травля, распространение запрещенной информации. Чтобы провести генеральную уборку в Сети, нужно еще много работать.
Но в условиях специальной военной операции основными стали угрозы информационной безопасности по всем направлениям. Помимо фейков, это хакерские атаки, которые осуществляются по нескольким направлениям, начиная от демонстрации своей силы и слабости оппонентов и заканчивая попыткой внедрения в ресурсы и получения доступа к системам, которые обеспечивают деятельность системообразующих компаний, и критической инфраструктуре. Надеюсь, что и дальше нашим кибервойскам будет удаваться отбивать эти атаки. Хищения персональных данных — в этом же ряду угроз.