На состоявшемся в Петербурге II Цифровом форуме, обсуждая вопросы безопасности данных, эксперты озвучили важную мысль: хакерские атаки сегодня выходят на новый уровень. Кражи данных теперь уже направлены не просто на то, чтобы завладеть информацией, а на то, чтобы получить доступ к управлению организацией. Очевидно, новая реальность требует и более продуманных подходов к руководству. Готово ли к ней современное российское здравоохранение?
Формальный подход не катит
Аналитики признают: государство сегодня осознает важность данной темы и защите критической информационной инфраструктуры уделяет все больше внимания. Другое дело, что количество этих регуляторных активностей пока не переходит в качество. Причем, ни в части госругелирования, ни в части реакции на него бизнеса. «Какая ответственность наступает у юрлица за разглашение персональных данных? Никакой. А какая ответственность возникает за невыполнение требований регулятора? Вплоть до приостановления
деятельности», — констатировал, выступая на Цифровом форуме вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов.
По его словам, такой формальный подход приводит к тому, что законодательство в его нынешнем виде подталкивает бизнес не к защите информации, а к защите от регулятора. «Такая вот «бумажная безопасность» — есть мотивация к защите от регулятора и нет ответственности за инциденты с нарушением безопасности данных, которые происходят. По факту, сегодня мы больше защищаемся от нормативных требований, а не от фактических атак», — констатировал эксперт. По его словам, это действительно большая проблема, которая лежит в области нормативной базы, касающейся информационной безопасности, но постепенно ситуация начинает разворачиваться в правильную сторону – все чаще мы приходим к мысли, что нужны не просто сертифицированные средства защиты, а работающий процесс.
Поиск середины
Одна из причин почему государство начинает все большее внимание уделять теме защиты критической информационной инфраструктуры – эволюция хакерских атак. «Атаки на критическую информационную инфраструктуру – это принципиально другой уровень атаки, другой уровень
технологии, атакующее программное обеспечение, серьезные средства маскировки. Это другой уровень развития атакующих. И компании, подвергающиеся атаке, они не то что не готовы к отражению – они в течение месяцев и даже лет не обнаруживают в своих информационных системах атакующего ПО, группировок, которые своей целью имеют проникнуть в системы управления компаниями, получить контроль над системами управления», — рассказал независимый эксперт в области информационных технологий Алексей Мунтян.
«Надо понимать важную вещь: сейчас уже даже нет необходимости «организовывать» атаки. Они просто встроены. Это так называемые «закладки», с помощью которых можно совершать любые атаки или даже остановить инфраструктуру. Призывы защищаться все чаще теряют смысл в современном мире. Потому что средства наложенной безопасности работают все хуже. В перспективе они вообще станут ненужными. Если о защите контента мы ещё можем говорить, то защита инфраструктуры должна быть встроенная априори. Это значит, что надо архитектуру строить таким образом, чтобы она была изначально безопасной. А если изначально инфраструктура принадлежит не нам, то задача становится неразрешимой», — подчеркнула в своем выспуплении президент Infowatch Наталья Касперская.
С этой точкой зрения согласен директор департамента цифровой трансформации Счетной палаты РФ Михаил Петров: «Страшна не сама по себе утечка информации. Имея в кармане мобильный телефон, мы уже передаем информацию о себе. Надо встраивать в системы принятия решений схемы защиты, в первую очередь социального характера». Что же касается самой информации, здесь, по мнению Михаила Петрова, важно соблюдать разумный подход и не допускать перекоса, когда переусердствование в части защиты данных мешает нормальному выполнению рабочих процессов».
Своеобразный итог этой дискуссии подвел управляющий партнер компании «Ашманов и партнеры» Игорь Ашманов: «Есть первичные данные, которые собираются в медучреждениях. По ним требования очень жесткие. Даже полиция, следователи не всегда могут получить к ним доступ во время следственных действий. Есть блоки персональных данных, которые можно просто вычислить, в результате мониторинга соцсетей. Я думаю, ответственность надо переносить не на получение данных, а на их использование».
Продолжение темы «Цифровые технологии в здравоохранении» в наших следующих публикациях.
