Для начала немного истории. В уже далеком 95 году я на выставке КомТек ходил с листовками отпечатанными офсетным способом в типографии, и предлагал купить Нулевую (как я теперь ее называю) конфигурацию 1С. Тогда мне так и не удалось продать ни одного экземпляра, лишь менеджеры 1С подошли и спросили – «Что я тут делаю». Далее я пришел к Б.Г.Нуралиеву и предложил идею продавать конфигурации отдельно от программы 1С. Ему идея понравилась, и он сказал: «Пиши документацию». Но, к сожалению, таланта писателя у меня нет, мне больше нравится находить решение проблемы. Тогда, чтобы продвинуть эту идею, я выступил на семинаре 1С и показал впервые автоматическое заполнение «Книги продаж» и «Книги покупок», сразу после семинара ко мне подошел С.Киевский из г.Екатеринбурга и попросил дать ему конфигурацию на ознакомление. К следующему семинару О.Бурина сделала описание, так появилась конфигурация «Нулевая Плюс», вот как она выглядела.
Вот уже следующую конфигурацию, выпущенную совместно с 1С, можно назвать Первой. Она была уже в привычных сейчас всем цветах и оформлении.
Так Вы спросите, к чему вся эта история.
Чего скрывать, немного похвастаться, иногда приятно сказать «Я человек, который придумал конфигурации». Но эта история о том, как важно для развития бизнеса уловить тенденции развития и еще о том - идея и ее воплощение как говорят в Одессе – это две большие разницы. В течение жизни я убеждался в этом много раз, у меня есть книжечка, куда я записываю свои идеи. Лет через 10 – 15 их кто-то внедряет, вот несколько из внедренных:
- надувные строения;
- ирригаторы;
- лебёдка для эвакуации при пожаре.
А вот еще не внедрили:
- мини метро (зачем гонять под землей огромные вагоны, если в них перевозят только людей)?
- трубопроводный транспорт для северных территорий (если дороги все время засыпает снегом, с этим что-то нужно делать);
- пылеулавливатели без мотора.
А теперь вернемся к более насущным проблемам в сфере IT. Мы с партнером выпустили в одной электронной библиотеке книгу «Защита персональных данных: курс лекций» Терехов С.А. В которой рассматриваются вопросы правовой, организационной, технической защиты персональных данных. Книга будет полезна широкому кругу лиц от директора предприятия до администратора сети и даже для студентов. Но во время подготовки публикации пришло понимание, что текущее направление развития защиты ПД ведет в тупик. Новое видение было описано в отдельной лекции и, так как она по объему довольно маленькая, привожу ее целиком.
КАК ОПТИМАЛЬНО ОРГАНИЗОВАТЬ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИИ
1. Основные недостатки текущей парадигмы обеспечения безопасности ПДн
Чтобы образно представить неискушенному человеку текущее положение дел по безопасности ПДн, достаточно обратиться к аналогичным проблемам безопасного обращения денежной массы. Обычные люди в основном хранят свои деньги в банках и с помощью современных средств идентификации, аутентификации и авторизации безопасно через Интернет управляют их накоплением, оплатой по счетам и перечислением другим лицам или организациям.
Обратите ВНИМАНИЕ: безопасностью денежных средств граждан занимаются банки под контролем государства. А что же происходит с ПДн? Если проецировать современные требования регуляторов к указанной аналогии, то каждому лицу надо бы носить за плечами свой личный сейф, а деньги каждый мог бы копировать на цветном принтере и распространять в любых количествах, так как они не имели бы защитных атрибутов.
Таким образом, основные проблемы, на наш взгляд, следующие.
2. Недостаток специалистов
Собственно, основной задачей написания данного курса лекций и является попытка решить проблему недостатка специалистов на местах. А так как современное законодательство в лице таких регуляторов, как Правительство, ФСТЭК, ФСБ, Роскомнадзор обязало обеспечить безопасность ПДн Операторов ПДн, т.е. предприятий, организаций, частных предпринимателей независимо от объема их выручки, превалирующему большинству Операторов экономически это не под силу. Надо либо содержать специалистов по безопасности в штате предприятия, либо передавать работы на сторону, тем, кто имеет лицензию на обработку конфиденциальной информации. Оба варианта дорогие, поэтому чаще всего работы по безопасности в малых предприятиях носит разовый характер и направлены на защиту от проверяющих органов.
3. Сложность.
Сложность защиты современных ПДн определяется тем, что ПДн хранятся в электронном виде, их очень просто копировать и с помощью интернета передавать за несколько секунд в любую точку мира. Получается, что один раз украденные данные уже невозможно перехватить и пресечь их распространение. Так же сложно определить источник утечки данных. Усугубляет положение то, что закон по защите ПДн требует защитить самые распространенные данные о человеке: его ФИО, телефон, адрес. А свои ФИО, телефон и адрес человеку приходится сообщать на «каждом шагу». Эта проблема никогда не будет решена при современном подходе к защите ПДн.
4. Стоимость.
В предыдущих лекциях описаны технологии защиты ПДн, естественно, применяемые для этого программы и оборудование стоит денег и времени на их освоение. Чем важнее, объемнее и разнообразнее ПДн, тем более сложно их защитить. Усложняются методы взлома, усложняются и меры защиты, а чем сложнее, тем дороже. Возникает, можно сказать, «гонка вооружений». Эта проблема никогда не будет решена при современном подходе к защите ПДн и кроме того при этом происходит отвлечение денежных ресурсов от более важных государственных задач, например, развитие ИИ.
5. Неадекватные карательные меры.
Исходя из предыдущих пунктов защиту ПДн при современном подходе сложно, дорого и невозможно выполнить с полной гарантией. При этом в законе о защите ПДн предусмотрены, можно сказать, драконовские меры при его невыполнении. Конечно, штрафы направлены на побуждение организаций и физических лиц защитить свои ПДн. Но на практике директоры видят невыполнимость данного закона и выбирают из двух зол меньшее по стоимости – просто его не выполнять.
6. Оптимальная структура хранения и защиты ПДн.
Итак, стоит непростая задача дешево, просто, технологично, безошибочно идентифицировать человека. Идентификацию можно разделить на разовую (проверка документов) и постоянную. Подавляющее большинство идентификаций человека являются разовыми и тут уже даже не надо ничего изобретать - на любом кассовом аппарате уже эта функция работает, у каждого взрослого человека есть банковская карточка. При использовании данной технологии не нужно предъявлять другие документы, так как сам факт оплаты банком уже подтверждает личность человека, а полученный чек об оплате подтверждает факт проверки. Для других проверок, где не нужно платить денежные средства, например, проверку прав на вождение автомобиля или проверку документов на улице полицией - можно реализовать «нулевой чек», в котором будет пробиваться сокращенно ФИО.
Для долгосрочных ПДн необходимо организовать не хранение ПДн в база данных организации, а хранение зашифрованной ссылки на ПДн, которые хранятся в банке или специализированном сервере, например, в полиции. Такая зашифрованная ссылка должна быть сгенерирована с учетом сертификата организации и, например, телефона физического лица. В ссылке должен быть зашифрован адрес хранения ПДн, идентификатор организации, которая хранит такую ссылку, время ее действия (например, как работает ссылка на скачивание данных с облачного хранилища) и объем запрашиваемых данных о человеке. Такая форма работы с персональными данными позволит автоматически обнулять просроченные ссылки, контролировать источник запроса на ПДн и, что самое главное, сэкономить огромные ресурсы для страны.
О концепции развития России напишу отдельно..
Вступайте в нашу телеграмм-группу Инфостарт