Личные данные граждан

Участились покушения на персональные данные миллионов россиян, живущих поддержкой общественных организаций

Из-за слабой защиты персональные данные миллионов россиян оказываются под угрозой, свидетельствуют эксперты. По информации Госдумы, в последнее время участились хакерские атаки на государственные сайты, а также на страницы социально ориентированных НКО. Правительство РФ приняло решение помочь в защите таких учреждений. Новый законопроект позволит снизить количество «сливов» критически важных данных, повысит доступность и скорость работы информационных систем. Сейчас законопроект рассматривают в Минэке и Минцифре, а его внесение в Госдуму планируется в ближайшее время, сообщили «Известиям» в нижней палате парламента.

Атаки из-за рубежа на россиян

В ближайшее время в Госдуму будут внесены поправки в закон «О некоммерческих организациях». Они подразумевают, что социально ориентированные НКО смогут получать бесплатную информационную поддержку от органов государственной власти, рассказала «Известиям» инициатор законопроекта, депутат Госдумы Ольга Занко.

— Большинство НКО не имеют бюджета и финансирования на различные отрасли, в том числе на информационную безопасность, но тем не менее часто хранят и обрабатывают персональные данные россиян, — разъясняет ведущий инженер CorpSoft24 Михаил Сергеев. — В данный момент информационная поддержка организаций в экспериментальном режиме потребует дополнительных расходов федерального бюджета в объеме 61,7 млн рублей в год, при этом сейчас в законопроекте всё еще не определены источники финансирования и порядок исполнения новых видов расходных обязательств.

Социально ориентированные НКО — это организации, деятельность которых нацелена на благотворительную и социальную поддержку населения, защиту прав граждан, в том числе в условиях преодоления последствий стихийных бедствий, экологических или иных катастроф, а также на профилактику несчастных случаев.

Кроме того, их деятельность касается культурной, образовательной и физкультурно-оздоровительной сфер, которая осуществляется за счет федерального бюджета, бюджетов регионов и местных средств. НКО особенно важны как субъект экономики именно в регионах. У каждой НКО в процессе деятельности накапливается значительное количество информации о подопечных и контрагентах.

По мнению депутата Ольги Занко, готовящиеся меры поддержки особенно актуальны в период санкционного давления и призваны эффективнее противодействовать хакерским атакам из-за рубежа.

— Работа над законопроектом началась еще весной, когда к нам обратились несколько крупных НКО, которые занимаются патриотическим воспитанием и помощью Донбассу, — рассказала эксперт. — Они столкнулись с хакерскими атаками. Стали разбираться в вопросе и выяснили, что существуют телеграм-каналы, которые ведутся на английском и украинском языках. Туда приходят задания, какой российский сайт атаковать. Так возникла идея законодательно закрепить новую форму поддержки СО НКО. Этот законопроект даст право органам власти предоставлять им доступ к электронным сервисам, конструкторам сайтов, а также инструменты для защиты персональных данных.

Руководитель фонда «Дети-бабочки» и член Общественной палаты РФ Алена Куратова дополнила, что на данный момент пока не ясно, в каких формах будет оказываться поддержка. По ее предположению, каждый ответственный орган будет определять это самостоятельно.

— К примеру, за 12 лет нашему фонду удалось решить проблему ИБ собственными ресурсами, но не у всех организаций есть свои IT-департаменты, — отметила она. — Если государство будет помогать сектору в цифровой сфере, предоставлять доступ к своей инфраструктуре, cерверам, облачным решениям, это будет способствовать развитию и повышению уровня доверия граждан к НКО. Это могут быть CRM-программы, антивирусы, конструкторы сайтов и т.д.

Законопроект об информационной безопасности социально ориентированных НКО может облегчить работу организаций, которые занимаются оказанием общественно полезных услуг, акцентирует директор по взаимодействию с органами государственной власти Группы Т1 Дина Гайзатуллина.

— Эта инициатива в том числе позволит встроить НКО в единую информационную систему портала государственных услуг, а следовательно, сделает их услуги еще более доступными, — отметила она.

Основная опасность

Ключевой риск для НКО, с точки зрения кибератак, такой же, как и для любых других информационных ресурсов или систем. В рамках своей работы НКО обрабатывают персональные данные граждан РФ, и это накладывает на них обязанности по исполнению требований 152-ФЗ «О персональных данных», а также требования ФСБ и ФСТЭК по реализации конкретных организационных и технических мер. Если у НКО нет средств на исполнение этих правил, то помощь со стороны государства является обоснованной и адекватной, подчеркнул начальник департамента аудита ИБ-компании T.Hunter Владимир Макаров.

— Угрозы безопасности для НКО абсолютно идентичны угрозам для коммерческих организаций, — объясняет главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников. — Безусловно, такие маневры потребуют увеличения бюджета для государственных органов, но на самом деле часть средств защиты информации уже давно куплена и установлена. Поэтому добавление защищаемых объектов совершенно не скажется на стоимости средств защиты. Основная нагрузка ляжет только на административный персонал, который будет обслуживать информационные ресурсы НКО, но, учитывая то, что подобные ресурсы зачастую не являются высоконагруженными, это не должно привести к перегрузке персонала.

Как пояснил президент НП «Руссофт» Валентин Макаров, «основные опасности для социально значимых НКО связаны с тем, что с началом СВО информационное поле превратилось в поле боя». Количество кибератак выросло в несколько раз, а помимо частных «зловредов» в борьбу с российскими IT-ресурсами включились спецслужбы.

— Понятно, что НКО не могут заниматься эшелонированной киберзащитой от такого рода угроз, — говорит Макаров. — Действия государства по предоставлению социально значимым НКО инструментов кибербезопасности мне представляются совершенно закономерными. Интеграция этих инфоресурсов в «Госуслуги» поднимает их статус и дает дополнительные гарантии.

Защищенное пространство на базе Гособлака

Имеет смысл разделить проблему информационной безопасности СО НКО на несколько составляющих, предлагает директор по развитию бизнеса компании «Гарда Технологии» Михаил Савельев. Сегодня под определение социально ориентированных НКО попадает достаточно большой пласт организаций: от маленьких благотворительных фондов до профессиональных футбольных клубов. Всего их в официальном реестре содержится почти 47 тыс. По словам специалиста, предприятия имеют сильно разнящиеся возможности по тратам на свою профильную, а главное, сопутствующую деятельность, под которой подразумевается создание сайтов, ведение документации и т.п.

— Очевидно, что в небольших фондах всем занимаются волонтеры, которые работают на личных компьютерах, создают простейшие сайты на бесплатных площадках при помощи самого базового инструментария, — говорит Михаил Савельев. — Ждать от таких ресурсов высокого уровня защищенности, конечно же, не стоит.

По этим же причинам злоумышленникам не представляет особого труда как атаковать сайты, так и получать доступ к документации организаций. Особенно это актуально с весны 2022 года, когда для нападений стали привлекаться все желающие выразить свои политические взгляды. Такие атаки вполне могут нарушить работоспособность сайтов, на которых осуществляется подготовка и отправка гуманитарной помощи, размещаются объявления о помощи беженцам.

Директор по развитию бизнеса компании iTProtect Андрей Мишуков признает важность законопроекта, поскольку данные, хранящиеся в социально ориентированных НКО, одни из самых чувствительных. Речь идет о гражданах, которые могут оказаться незащищенными перед мошенниками, использующими методы социальной инженерии.

— Важно понимать, что цифровая и информационная безопасность — это очень ресурсоемкие процессы, — поясняет Мишуков. — В этой ситуации правильным шагом было бы создание защищенного пространства на базе Гособлака, в котором социально ориентированные НКО могли бы хостить свои веб-ресурсы и хранить сведения о своих подопечных. В таком случае выстроить одну большую систему для всех социально ориентированных НКО с высоким уровнем кибербезопасности было бы намного дешевле и проще, чем много маленьких разрозненных систем для каждого НКО в отдельности.

Необходимость организовать комплексную защиту ресурсов НКО выглядит вполне логично, соглашается директор департамента информационной безопасности и специальных решений Sitronics Group Александр Дворянский.

— Так как больше половины атак происходит по причине так называемого человеческого фактора, то, помимо технической защиты, необходимо проводить на постоянной основе работу с пользователями по формированию базовых навыков по информационной безопасности, — резюмирует спикер.

Дмитрий Алексеев, Известия