Менее половины белорусских компаний готовы к работе с персональными данными

Центр кибербезопасности hoster.by провел опрос 130 технических специалистов из различных белорусских организаций, чьи информационные системы так или иначе работают с персональными данными. Итог — лишь 39% опрошенных заявили, что их система прошла соответствующую процедуру аттестации. А 49% считает, что выполняет все требования законодательства в области защиты персональных данных. 

Стоит отметить, что абсолютное большинство компаний имеют дело с персональными данными.  Ведь это и информация о клиентах, сотрудниках, и даже имя и адрес доставки из формы обратной связи на сайте. Не говоря уже о современных торговых площадках, страховых компаниях и финансовых организациях.

Сайты взламываются каждый день

Рост числа киберпреступлений не думает замедляться. Центр кибербезопасности hoster.by за 2024 год зафиксировал без малого 500 инцидентов, каждый из которых затрагивал до 150 сайтов. Персональные данные — одна из главных мишеней при атаках.

Требования к системам, которые обрабатывают персональные данные, определены Приказом Оперативно-аналитического центра при Президенте Республики Беларусь №66. Именно там указан перечень конкретных мер по защите данных ограниченного распространения, в том числе:

• Система мониторинга событий информационной безопасности. 

• Средства защиты технологий виртуализации.

• Антивирус.

• Межсетевой экран. 

• Средства криптографической защиты информации.

• Средства разграничения доступа к данным.

• Средства контроля за утечками конфиденциальной информации.

• Средства резервирования данных.

«Руководитель каждой организации должен понимать, к какой категории относится информация, которая обрабатывается в информационной системе, — комментирует генеральный директор hoster.by Сергей Повалишев. — На практике владелец, например, небольшого интернет-магазина может не задумываться над тем, что номер телефона или адрес доставки — это уже персональные данные клиентов, а их обработка накладывает на сайт магазина определенные обязательства». 

Что на практике

Менее половины организаций выполняют требование законодательства по аттестации своей системы. К сожалению, это ставит в уязвимое положение и клиентов, чьи данные могут легко оказаться в руках злоумышленников, и сами организации, которые работают по сути в «серой» зоне. 

«Несмотря на низкий процент аттестованных к данному моменту систем, я вижу, что их число уверенно растет. Поэтому цифры надо смотреть в динамике — через год картина может быть иной, — считает руководитель центра кибербезопасности hoster.by Антон Тростянко, — Что меня тревожит больше, так это 14% респондентов, признавшихся в отсутствии элементарного антивируса». 

Планы по реагированию на киберинциденты и по восстановлению работоспособности есть также менее чем у 50% опрошенных.

Лучше обстоят дела с локальной нормативной документацией. Полный набор документов есть у 3 из 4 компаний. В то же время данные графиков показывают, что многие относятся к этой сфере формально, включая ответственных за обеспечение информационной безопасности. А ведь именно на этих специалистов, как и на руководителей, распространяется административная (а в ряде случаев и уголовная) ответственность за нарушение действующего законодательства.

«Информационная безопасность начинается с правильной инфраструктуры. Безусловно, существует множество технических и законодательных нюансов, поэтому все чаще проектирование, создание и аттестацию IT-инфраструктуры отдают на аутсорс. Это закономерный шаг, который позволяет с одной стороны не тратить время на технические тонкости и сосредоточиться на развитии бизнеса, а с другой — быть на 100% уверенным в стабильной и безопасной работе проекта», – считает Сергей Повалишев.