Лучше не получать статус оператора персональных данных, если без этого можно обойтись – депутат Смышляева

Что произошло

Крупнейшая хакерская конференция в Центральной Азии проходит в Алматы с 11-13 сентября. Вопрос безопасности данных обсудили на одной из панельных сессий с представителями бизнеса и государства.

В комитете по информбезопасности МЦРИАП работает 29 человек

Сфера испытывает дефицит кадров. По словам участников форума, в настоящее время стране не хватает около тысячи специалистов в области кибербезопасности. Министерство цифрового развития, инноваций и аэрокосмической промышленности (МЦРИАП) тоже испытывает нехватку специалистов, но и принять человека с улицы без специальной проверки и дать ему доступ к данным нельзя.

"Сейчас в комитете по информационной безопасности работает всего 29 человек. Было вообще 20, но с помощью неравнодушных коллег получилось увеличить это число", – рассказала заместитель председателя комитета по информационной безопасности МЦРИАП Умитжан Арыкбекова.

По словам CEO Центра анализа и кибератак TSARKA Олжаса Сатиева, количество работников отрасли надо увеличивать хотя бы по примеру Азербайджана.

"Если говорить про регулятор, там действительно не хватает людей. Все говорят, что надо уменьшать количество чиновников, но в этой сфере их число надо увеличивать. Недавно приезжала делегация из комитета информбезопасности Азербайджана. У них намечено расширение до 130 человек. Также необходимо увеличивать бюджет государственной технической службы. Да, возможно, есть сферы в органах, где нужно сократить бюджет, но не здесь", – сказал он.

Фото BES.media

Дефициту в отрасли также нашлось и несколько простых, но весомых объяснений.

"Первая причина заключается в том, что сложно учиться. Серьёзный специалист по безопасности должен быть хорошо подготовлен во многих разных темах, должен постоянно учиться и повышать свою квалификацию. Во-вторых, дисбаланс зарплат: оплата труда в IT-разработке не только в Казахстане, но и в мире, выше, чем зарплата специалиста по кибербезопасности", – сказал руководитель лаборатории исследования вредоносного кода Гостехнслужбы КНБ Олег Биль.

"Мы собираем и храним то, что не должны требовать"

Депутат мажилиса Екатерина Смышляева рекомендовала следовать простому совету – не хранить лишних данных.

"Не собирайте то, что вам не нужно. Это наша в том числе и поведенческая особенность, когда мы собираем, просим, требуем и храним то, что не должны хранить и не должны требовать. Оно нам не надо и это не надо большинству субъектов. Поэтому самый главный посыл – не нужно собирать лишнего. Прежде чем вы будете собирать с клиента или с сотрудника, просто взвесьте, нужно ли вам это или нет. Лучше не получать статус оператора персональных данных, если без этого можно обойтись", – сказала она.

Вложения в кибербезопасность мажилисвумен сравнила со строительством дома, поскольку и в том, и в этом случае лучше сразу сделать хорошо, чем впоследствии ежегодно тратить на ремонт и изменения больше.

"С системами точно так же. Если не избежать сбора персональных данных, то в системе сразу должны быть деньги на то, чтобы их защитить. Иначе потом в процессе штрафов, доработок и так далее потратишь больше. Никто так не считает, но в бизнес-модели деньги должны быть", – объяснила депутат.

–––

Читайте также:

• ЭЦП больше не будут выдавать на флешках: новые меры кибербезопасности в Казахстане

–––

Екатерина Смышляева также посетовала на то, что с точки зрения инвестиций бизнес охотнее вкладывается в IT-разработку и стартапы, чем в информационную безопасность, и это тоже тормозит процесс развития.

"Не хватает инвестиций. Мы долгое время продолжаем увлекаться технологической частью цифровизации. Лёгкие победы, стартапы и прочее – крен идёт в эту сторону. Инвестиции в ИБ тоже повышаются, но не такими темпами, как хотелось бы. Поэтому если любые правовые и регуляторные нормы и предложения, которые мы будем вносить, не будут подкреплены инвестициями, то они не родятся на практике", – сказала она.

Простые люди и желание их защитить

Население не понимает масштаба угрозы, не оценивает важность кибербезопасности должным образом и не понимает, как это может на них повлиять.

"Общество не понимает важности вопроса. Сегодня многие подходы в сфере цифровизации и информационной безопасности немного нестандартные, а общество достаточно консервативное. Мы сравнивали хакеров со взломщиками сейфов, с преступниками, но донести, что в сфере информбезопасности нужны другие подходы, потому что отрасль сложная сама по себе – сложно", – рассказала Екатерина Смышляева.

Заместитель председателя комитета по информационной безопасности МЦРИАП добавила, что для государства важен каждый кейс утечки данных.

"К примеру, утекли данные от оператора или от микрофинансовой организации. Согласно закону мы как государственный орган обязаны уведомить каждого гражданина через портал электронного правительства. После таких уведомлений очень много обращений к нам приходит. И мы объясняем людям, что такие моменты надо решать уже в инициативном порядке, обращаться надо в суд, нельзя игнорировать", – сказала Умитжан Арыкбекова.

Олжас Сатиев считает, что защита данных граждан должна стать не просто обязательством, но и своего рода социальной ответственностью самих компаний, кто данные эти хранит. И сравнил это с примером, когда мусор бросают на улице.

"Хотелось бы, чтобы бизнес относился к кибербезопасности не как к пинку от комитета информбезопасности. Сейчас безопасность в Казахстане пока развивается за счёт того, что регулятор требует. Надо, чтобы он относился к этому как к заботе о гражданах. Это вопрос социальной ответственности. Это как бросать мусор на землю либо в урну. Кто-то понимает, что если каждый будет сорить, то будет грязно. Но есть и те, кому надо объяснять, что бросать надо в урну, да ещё и грозить, что снимет камера и выпишут штраф. Кибербезопасность, к сожалению, вот так и двигается. Когда директоры по IT будут приходить к нам не так, что нужно спастись от регулятора, а с запросом на защиту клиентов, тогда будет вся отрасль меняться", – заключил CEO Центра анализа и кибератак TSARKA.

Контекст

В последние годы проблема утечки персональных данных становится всё более актуальной во всём мире. Казахстан не является исключением, в стране растёт число случаев кражи, продажи или утечки конфиденциальной информации третьим лицам.

На фоне этого в МЦРИАП обсуждают инициативу о том, что для подключения к услугам сотовой связи и доступа к интернету пользователи будут обязаны предоставлять свои биометрические данные, такие как изображения лиц. Эти данные должен предоставить каждый абонент, желающий заключить договор на оказание услуг сотовой связи. Международный эксперт в области IT и кибербезопасности, член Бюро ЭСКАТО ООН Арман Абдрасилов назвал эту инициативу "неосознанной некомпетентностью" органов.

___

Читайте также:

• Операторы сотовой связи в Казахстане официально будут собирать персональные данные и Face ID
• Вы потеряете право на изображение своего лица – Арман Абдрасилов о сборе биометрии мобильными операторами
• В сборе биометрии игнорируется принцип добровольности, отсутствует согласие – мажилисвумен обратилась к премьер-министру РК

___

• Читайте коротко о важных событиях в Telegram. Подписывайтесь и включите уведомления.
• Если у вас есть чем поделиться или вы стали очевидцем событий, пишите, присылайте фото, аудио и видео, документы, в наш анонимный бот @bessimptomno_bot.