Защита персональных данных: нарушения, утечки, обучение

Увеличение количества преступлений, совершаемых с использованием информационно-коммуникационных технологий, привело к появлению специфических структур, занятых обеспечением информационной безопасности. О работе одного из таких госучреждений – Национального центра защиты персональных данных – рассказал его директор Андрей Гаев.

Основными задачами Национального центра защиты персональных данных (НЦЗПД), созданного в 2021 г., являются принятие мер по защите прав субъектов персональных данных при их обработке, а также организация обучения сотрудников компаний по вопросам такой защиты.

Защита прав субъектов персональных данных в описании задач указана не случайно – центр не только следит за исполнением профильного законодательства организациями и компаниями, осуществляющими сбор персональных данных, но и предпринимает активные меры к устранению обнаруженных источников «утечки» и «слитых» данных. Так, согласно информации, предоставленной Андреем Гаевым, благодаря работе специалистов центра в 2023 г. из сети было удалено 100 тыс. персональных данных белорусских граждан, размещенных без должных оснований. Напомним: за прошлый год НЦЗПД удалил из общего доступа более 1,5 млн записей с персональными данными белорусских граждан.

Как отметил директор центра, государство лишь создает условия для защиты персональных данных и безопасности личности при их использовании, а то, что происходит с личной информацией гражданина, зависит не столько от государства, сколько от действий организаций, которые собирают персональную информацию, и каждого человека в отдельности.

Нарушения и способы их предупреждения

В качестве примеров нарушений чиновник привел произошедшие недавно крупные утечки персональной информации из торговых сетей «Остров чистоты и вкуса», «Буслик» и сети салонов связи «Алло». Любопытно, что столь значительный слив по различным организациям произошел практически одновременно, и специалисты склонны считать выявленные факты частями общей операции злоумышленников, направленной на завладение персональными данными.

В 2022 г. большой общественный резонанс вызвали массовые утечки данных наших сограждан из торговой сети «Соседи» и «Белгазпромбанка». Жертвами хакеров становились в прошлом году и другие белорусские компании, обрабатывающие десятки тысяч персональных данных.

Работниками центра был проведен анализ ситуации с поиском ответа на вопрос, что способствовало произошедшим утечкам. Их вывод: к несанкционированным последствиям привело непринятие мер по защите информации в конкретных организациях. Меры по контролю за безопасностью информации, предусмотренные законодательством, в каждой организации не были соблюдены, поэтому соответствующие информационные ресурсы и системы не были должным образом защищены с технической стороны.

Эффективным способом профилактики случаев утечки персональных данных директор НЦЗПД считает мониторинг сайтов компаний, работающих с большим объемом персональных данных. В текущем году такой мониторинг осуществлялся в отношении более 50 сайтов различных организаций, прежде всего тех, которые оказывают услуги и продают товары через интернет.

К сожалению, в каждом случае по результатам мониторинга появлялись нарушения, и по каждому случаю сейчас проводится работа по устранению выявленных недостатков. Например, по итогам мониторинга крупного информационного ресурса оказалось, что личная информация нескольких сотен тысяч граждан даже не была перенесена на защищенный хостинг. Никакие меры, связанные с технической защитой информации, не были выполнены. Ни одного варианта логирования действий нескольких тысяч сотрудников организации не производилось, т.е. установить, кто и что делает с персональной информацией, было невозможно.

Выявляются нарушения и в других сферах. Так, во время проведения профилактических мероприятий было установлено, что при сборе информации о школьниках для создания их ученических билетов зачастую собирается лишняя информация. В результате специалистами центра во взаимодействии с одним из банков были организованы работы по удалению лишних данных в отношении более чем 200 тыс. несовершеннолетних. Это сведения из документов, удостоверяющих личность, информация об их месте жительства и ряд иных подобных сведений, которые не требуются для выдачи такого документа.

Андрей Гаев отметил, что сотрудники НЦЗПД отслеживают ситуацию, связанную с тем, что происходит с удаленными ранее пакетами данных в Глобальной сети, ведь злоумышленники периодически повторно выкладывают данные, удаленные в результате взаимодействия центра с обладателями ресурсов. Так, недавно было удалено несколько тысяч единиц персональной информации, полученной при возврате денег за билеты. Организаторами для возврата денежных средств брались сведения из паспортов, и часть информации для проводимых операций абсолютно не требовалась.

Обучение и еще раз обучение

Важным направлением деятельности Национального центра защиты персональных данных стала организация обучения по вопросам защиты персональных данных. Как сообщил директор НЦЗПД, с 5 сентября 2022 г. центр приступил к проведению обучающих мероприятий самого разного формата. За этот период обучение по соответствующим вопросам прошли уже 2,5 тыс. слушателей. Более 2 тыс. специалистов приняли участие в однодневных практико-ориентированных курсах. Еще 18 тыс. человек получили полезные сведения во время различных встреч и дискуссионных площадок. Всего же, по словам Андрея Гаева, через образовательные мероприятия центра прошло более 20 тыс. человек.

А в ноябре 2023 г. на базе Института информационных технологий БГУИР будет запущена образовательная программа по переподготовке кадров, которая позволит слушателям получить специальность в сфере защиты персональных данных. Проведением обучающих мероприятий деятельность центра не ограничивается – сегодня получить знания в области защиты персональных данных можно совершенно разными способами, в т.ч. самостоятельно изучая материалы, которые размещены на сайте НЦЗПД, а также в нашей газете и на ресурсе neg.by.