Глеб Рыбаков 30/01/25
Вопрос о персональных данных не сходит с повестки дня. Автор рассказывает, как этот вопрос может быть решен в системах безопасности.
В последнее время в инфополе систем безопасности значительно возросло количество статей, докладов и других материалов, относящихся к теме персональных данных. В частности, в 2024 г. на порядок увеличилось количество упоминаний систем биометрической идентификации и правовых аспектов их реализации.
Причина этому – уточнение и ужесточение законодательства в части хранения и обработки персональных данных. Ключевой фактор – принятие Федерального закона № 572, закрепляющего необходимость интеграции с Единой биометрической системой (ЕБС) для реализации большей части сценариев биометрической идентификации.
Но постойте, в системах безопасности в целом и контроля и управления доступом в частности обработка и хранение персональных данных о сотрудниках и посетителях всегда были основополагающим элементом. На эти данные завязаны процессы выдачи пропусков, идентификации, учета рабочего времени и многие другие.
В базе данных системы почти наверняка хранятся фотографии сотрудников, а биометрическая идентификация уже очень давно применяется для осуществления надежных процедур контроля доступа. Зачем ставить хорошо работающие системы, тем более созданные с благой целью обеспечения безопасности, вне закона?
Благими намерениями
Стремительное развитие информационных (цифровых) технологий в последние годы и десятилетия вынуждает общество и государственные органы все больше сосредотачиваться на связанных с этим рисках. Так, по данным экспертно-аналитического центра ГК InfoWatch [1], в 2023 г. на 111,5% увеличилось количество утекших записей персональных данных в сравнении с 2022 г. А в I полугодии 2024 г. количество утечек в России выросло на 10,1% по сравнению с аналогичным периодом 2023 г., при этом скомпрометирован почти 1 млрд единиц персональных данных [2].
На сегодняшний день стало понятно, что обеспечить 100%-ную защиту от инцидентов в цифровой среде невозможно. Можно лишь планомерно заниматься профилактикой, работать над уменьшением количества утечек и быстрым устранением соответствующих негативных последствий. И биометрические персональные данные закономерно оказываются в центре внимания. С развитием цифровых сервисов, завязанных на биометрию, например государственных и финансовых услуг, компрометация таких данных может иметь очень серьезные последствия для людей. Более того, фотография или отпечаток пальца – это не номер телефона и даже не имя, их изменить почти невозможно. А потому последствия утечки таких данных устранить уже невозможно.
Именно поэтому в последние годы российское государство активно реформирует нормативно-правовое регулирование обработки персональных данных, постепенно принимая ряд федеральных законов и подзаконных актов. При этом основным объектом контроля являются отнюдь не системы безопасности и контроля доступа.
Лидерами по количеству утечек в 2023 г. стали торговые организации, ИТ-компании и компании промышленного сектора [1]. По количеству утечек данных среди отраслей экономики в России первое место занимает торговля – по итогам I полугодия на нее пришлась почти треть всех зарегистрированных инцидентов [2]. Злоумышленники регулярно атакуют российские интернет-магазины, в основном небольшие, и других представителей ритейла, пользуясь слабым уровнем информационной безопасности. Именно из-за стремительного роста количества утечек информации в торговле произошел общий рост количества утечек в России по итогам I полугодия 2024 г.
Системы физической безопасности же, по всей видимости, просто попали под "каток законности". Ведь в "зоне поражения", например, закона о ЕБС оказались автоматически и многие объекты транспортной безопасности страны, как вновь оснащаемые, так и успешно работающие на протяжении многих лет. Приведение уже готового проекта системы с биометрической идентификацией к актуальным требованиям по интеграции с Единой биометрической системой требует значительных усилий и средств. Да и использование ЕБС само по себе далеко не бесплатно. А если система уже запущена, развернута где-нибудь в удаленной части нашей родины, и еще работает полностью автономно, без доступа в сеть "Интернет"?..
О рисках
Закон – это закон. Закон надо исполнять. Но не всем и не все законы хочется исполнять. Если исключить из рассмотрения вопрос морали (что, увы, часто свойственно бизнесу в силу его смысловой цели получения прибыли), то на одной чаше весов будут требования и издержки, а на другой – риски и последствия. А риски, связанные с невыполнением законов в части обработки персональных данных, значительно возросли в последнее время.
30 ноября 2024 г. президент России подписал федеральные законы № 420-ФЗ и № 421-ФЗ, которые ужесточают наказания за утечки персональных данных и нарушения в части их обработки [3]. За нарушения в работе с персональными данными будет грозить административная и уголовная ответственность. Привлекать к административной ответственности (назначая штрафы) будут тех, кто незаконно обрабатывает, распространяет персональные данные или допустил их утечку, к уголовной – тех, кто незаконно распространяет и использует персональные данные.
С 30 мая 2025 г. обработка биометрических данных для аутентификации в информационных системах государственных органов, организаций или Банка России без аккредитации или в случае ее приостановления или прекращения повлечет для должностных лиц штраф в размере от 500 тыс. до 1 млн руб., а для юридических – от 1 млн до 2 млн руб.
С 30 мая 2025 г. размер штрафа за утечку персональных будет зависеть от объема данных:
- Если утечка коснется 1–10 тыс. субъектов персональных данных или 10–100 тыс. их идентификаторов, нарушителей ждет штраф. Для обычных граждан от 100 до 200 тыс. руб., для должностных лиц от 200 до 400 тыс. руб., для юридических лиц до 5 млн руб.
- За массовую утечку данных – от 100 тыс. субъектов персональных данных или от 1 млн идентификаторов граждане могут заплатить до 400 тыс. руб. штрафа, должностные лица до 600 тыс. руб., юридические лица до 15 млн руб.
- За повторную массовую утечку данных обычные граждане заплатят до 600 тыс. руб. штрафа, должностные лица до 1,2 млн руб. Юридические лица заплатят оборотный штраф в размере 1–3% от общей выручки за год, предшествующий тому, в котором было совершено нарушение.
С 11 декабря 2024 г. уголовная ответственность зависит от вида нарушения. В частности, за незаконное использование, передачу, сбор и хранение цифровой информации, содержащей персональные данные, нарушителю грозит до четырех лет лишения свободы.
Между тем, по данным Сбера, персональные данные 90% взрослого населения есть в открытом доступе [4]. Так может, если данные, вероятно, уже утекли, не обязательно думать об их защите? Увы, никого не интересует, что данные "уже" утекли. Достаточно связать очередную утечку с конкретным юридическим лицом – и "привет, последствия!". А сопоставить с источником данные обычно технически очень просто, так как выставляют в открытый доступ/на продажу не чистые персональные данные, разложенные по полочкам, а полные дампы/выгрузки данных из информационных систем. Такие данные идут в комплекте с различной технической информацией, специфичной для конкретной системы, для конкретного бизнеса. И по ним сразу понятно, откуда данные слиты.
Возможно, кто-то из читателей в силу привычки напомнит, что "строгость российских законов смягчается необязательностью их исполнения".
Вот только в сложившейся геополитической и экономической ситуации государство вынуждено гораздо активнее работать над пополнением бюджета. И там, где раньше у государства "не доходили руки", сейчас оно уже задает вопросы. Да и люди возмущаются: всех замучили бесконечные звонки от мошенников по слитым персональным данным и навязчивая реклама.
А общество очень радуется, когда злодеев наказывают. Таким образом, при наличии возможности пополнить казну за чужой счет и пропиарить наказание злодеев государство не преминет такой возможностью воспользоваться.
На взгляд автора статьи, это довольно весомые аргументы, чтобы как минимум задуматься о соответствии системы физической безопасности актуальному законодательству и ее киберзащищенности. Не думать сейчас о защите персональных данных – это брать на себя неприемлемый риск. Наконец, "страх кончается там, где начинается неизбежное"!
При этом думать о защите персональных данных можно и нужно в двух направлениях – организационном/юридическом и информационном/техническом.
Правильная организация – залог успеха
В части обеспечения юридически грамотной обработки персональных данных необходимо правильно выстроить процессы на предприятии, вести необходимую документацию, исполнять формальные требования закона. Это не так просто, как может показаться.
Например, рассмотрим систему контроля доступа на небольшом предприятии. В системе контроля доступа заведены сведения о пропусках и их владельцах-сотрудниках. Сведения о владельцах пропусков содержат ФИО, должность и фотографию. Каждый сотрудник подписал согласие на обработку персональных данных с предприятием. В таком случае ФИО принято считать персональными данными. А следовательно, например, просмотром сведений о владельцах пропусков в программе СКУД, то есть обработкой персональных данных, может заниматься только ответственное лицо, назначенное для обработки персональных данных на предприятии соответствующим приказом, ознакомившееся под роспись с этим приказом.
Внимание, вопрос: верно ли, что сотрудник охраны за стойкой на проходной, выполняющий функции фотоидентификации, является таким ответственным лицом? Отображение ФИО и фотографии с целью визуальной идентификации лица, предъявившего пропуск на турникете при входе, формально можно трактовать как обработку персональных данных.
Далее, обратим внимание на рабочее место такого сотрудника охраны. Посредством программы фотоидентификации этот сотрудник имеет доступ к персональным данным. Таким образом, это рабочее место обработки персональных данных в информационной системе контроля и управления доступом. В соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 к таком рабочему месту предъявляются определенные требования по защите персональных данных и уровню их защищенности в зависимости от вида обрабатываемых данных. Даже просмотр фотографий – это обработка биометрических персональных данных. Таким образом, в соответствии с постановлением необходимо обеспечить как минимум третий уровень защищенности персональных данных. А это означает, например, что не должно быть возможности неконтролируемого пребывания в помещении с автоматизированным рабочим местом (АРМ) фотоидентификации лиц, не имеющих права доступа в это помещение.
Внимание, вопрос: верно ли, что охранник на проходной физически находится в отдельном помещении, доступ в которое ограничен?
Кроме того, такое АРМ должно быть надежно защищено, в том числе с использованием средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации. То есть операционная система и программные средства должны быть сертифицированы или "закрыты" сертифицированными наложенными средствами, не должно быть возможности установки стороннего ПО, копирования данных и прочее, и прочее.
Внимание, вопросы: возможно ли подключить к компьютеру флеш-накопитель и скопировать на него какие-либо данные, установлена ли на рабочем месте ОС с действующим сертификатом ФСТЭК, вроде Astra Linux (или эксплуатируется ОС семейства Windows)?
И это лишь малая часть самых простых вопросов, на которые необходимо получить верные ответы для соответствия всему многообразию требований по обработке персональных данных. Для того чтобы в достаточном объеме выполнить требования законодательства, на предприятиях приходится выделять под эти задачи штатного специалиста-юриста, а в крупных компаниях даже целые юридические отделы. Естественно, не все заказчики могут себе это позволить.
Киберзащищенность – ключевой фактор Практика показывает, что только организационных мер все же недостаточно, чтобы свести к минимуму вероятность утечки персональных данных. Даже в крупных, весьма обеспеченных корпорациях и ИТ-гигантах происходят утечки (и кстати, особенно громкие: ведь такие ситуации в силу масштаба и публичности компании гораздо сложнее утаить). И это несмотря на наличие выделенных отделов и специалистов по кибербезопасности, юристов и эффективных менеджеров. Чего уж говорить про предприятия меньшего масштаба.
Все дело в том, что для защиты от утечек необходимо также обеспечить высокий уровень киберзащищенности решения – устойчивости всех систем к различным атакам и взломам. Достаточно взломать одну систему – подобрать пароль, найти "забытый" сетевой тоннель или воспользоваться эксплойтом в устаревшей версии ОС на одном из серверов, и злоумышленник может получить доступ ко всем данным.
И системы физической безопасности могут оказаться в этом вопросе самым слабым звеном. Представленные на рынке продукты для безопасности зачастую построены на решениях и продуктах 10-/20-/30-летней давности, которые были исходно спроектированы для работы в закрытых/изолированных сетях, без учета современных требований к кибербезопасности, без оглядки на злободневные киберугрозы. В таких решениях не заложены актуальные принципы цифровой гигиены: данные передаются по открытым каналам, нет политик управления паролями, работа программного обеспечения в операционной системе осуществляется с полными административными правами. Посмотрим внимательно на типичную систему физической безопасности.
Во-первых, ПО систем физической безопасности часто разрешает использование коротких, простых или даже однобуквенных паролей. И такие пароли используются годами (!).
Часто один и тот же простой пароль используется на всех устройствах системы одновременно (!!). При этом, по данным Ростелеком Солар, в 2024 г. атаки на слабые пароли являются самыми популярными. В результате подбора по базам известных, популярных и простых паролей злоумышленник получает доступ к системе от имени и с правами соответствующего пользователя. Отсутствие встроенных в ПО политик управления паролями – ограничения их минимальной сложности, требования периодической ротации паролей, отзыва паролей по команде администратора, контроля количества попыток ввода пароля и др. делает атаки через подбор паролей быстрыми и очень эффективными.
Во-вторых, по оценке автора, большая часть программных средств физической безопасности работает под управлением ОС Microsoft Windows. В любом программном обеспечении есть ошибки и уязвимости, ОС Windows не исключение. Производитель регулярно выпускает патчи безопасности для своих продуктов.
Но, будучи установленным три, пять, а то и десять лет назад, ПО систем безопасности работает зачастую под управлением устаревших и не поддерживаемых производителем версий ОС. Кроме того, в свете текущей геополитической ситуации в Российскую Федерацию официально актуальные версии ОС и обновления не поставляются, а 8 апреля 2022 г. ФСТЭК принял решение приостановить действие сертификатов на все программное обеспечение Microsoft (как и многих других иностранных поставщиков). Таким образом, количество уязвимостей в решении становится больше от года к году, и это только вопрос времени, когда очередной вирус ими воспользуется.
Другая неприятная особенность таких систем – возможность полного доступа одного пользователя ко всем функциям/данным всей системы одновременно. Например, оператор бюро пропусков не должен иметь возможность выгрузить полный список сотрудников и посетителей со всеми их данными разом или скачать резервную копию базы данных, а системный администратор должен иметь доступ к административным функциям – настройкам, управлению системными параметрами, журналам аудита, но не должен иметь доступа к персональным данным или функциям управления охранной сигнализацией. Система должна предоставлять пользователю только те возможности, которые нужны ему для выполнения непосредственных обязанностей: поиск сотрудника по ФИО, заведение нового пропуска или просмотр журнала системных событий. В противном случае при взломе или в силу человеческого фактора возможно от лица одного пользователя, например, "слить" все персональные данные из системы или создать нового "администратора" для последующего доступа злоумышленника к системе.
Где же выход?
Как же обеспечить юридически правильную, а главное, безопасную обработку персональных данных в системе безопасности?
Простейший и самый доступный вариант – вообще не заниматься обработкой персональных данных. В теории возможно выдавать сотрудникам и посетителям только обезличенные пропуска, вести в системе только учет номеров карт, не использовать биометрическую идентификацию. На практике же такой подход либо невозможен, либо неудобен. Требования по безопасности диктуют необходимость осуществлять фотоидентификацию, выдавать разовые пропуска, фиксируя ФИО и номер документа, удостоверяющего личность, контролировать доступ по результатам распознавания лиц.
Другая крайность – поместить всю систему безопасности в контур обработки персональных данных: предоставить доступ к оборудованию, серверам, рабочим местам только для сертифицированных специалистов в отдельных помещениях со строгими ограничениями по доступу. Наружу из этого контура будут "торчать" только считыватели и выходы управления для управления замками и другими исполнительными устройствами. Основная сложность такого подхода в топологии: необходимо так расположить все сервера, рабочие места и органы управления, чтобы изолировать защищенную систему от остальной части предприятия. Не удастся разместить охранника с АРМ за стойкой на входе в здание, нельзя будет "просто зайти в службу безопасности получить пропуск". Кроме того, работать с системой смогут только включенные в перечень специалисты, а значит, будут сложности с доступом обслуживающих организаций, сменой охраны и другими кадровыми изменениями.
Самый оптимальный вариант – выстроить такую архитектуру системы безопасности, при которой обработка персональных данных осуществляется, но только в корректно изолированном и защищенном сегменте системы. А те части системы, на которых обработка персональных данных запрещена, например которые не размещены в соответствующих помещениях или не сертифицированы, этой обработкой и не занимаются. Так, контроллеры и исполнительные устройства, управляющие доступом по предъявлению карт, сервера и АРМ управления пропусками и правами доступа не хранят и не обрабатывают данные о владельцах пропусков и могут находиться вне защищенного сегмента, а сервера и АРМ выдачи пропусков сотрудникам и посетителям уже размещены в защищенном сегменте системы, и работают с такими АРМ уже выделенные специально обученные сотрудники.
К сожалению, не все современные решения и программные средства поддерживают такую гибкость в работе с данными. Например, на всех рабочих местах есть доступ к списку владельцев пропусков: нашел пропуск – увидел сведения о владельце. И другого не дано.
Но даже там, где с прикладной точки зрения доступ к данным разграничен правами, технически внешние АРМ продолжают осуществлять двусторонний сетевой обмен с центральным сервером, расположенном в сегменте обработки персональных данных. А такой технической возможности быть формально не должно – это уязвимость.
На вышеописанных примерах можно увидеть, что часть средств обеспечения безопасности по своей природе не готова/не пригодна к созданию решений с юридически корректной обработкой персональных данных. И для того, чтобы не изобретать велосипед и/или не тратить огромный бюджет на то, чтобы привести систему, построенную на таких средствах, в соответствие с законом, лучше выбирать решения, исходно спроектированные с учетом требований по обработке персональных данных.
Аналогично и с кибербезопасностью. Продукт, реализованный на базе современных принципов обеспечения информационной безопасности, взломать гораздо сложнее и, как следствие, дороже. Соответственно, выбор такого продукта несет гораздо меньше рисков, нежели применение "дырявого от рождения" решения.
А значительная часть продуктов на рынке, увы, является таковой, поскольку была спроектирована/создана во времена, когда никто не думал о киберугрозах, "Интернет был по талонам" (карточкам) и "640 килобайт хватало всем", "необходимым условием работы является отключение антивируса".
Конечно, частично защитить решения на таких продуктах возможно с применением наложенных средств: выделить систему безопасности в отдельную подсеть, закрыть все сетевое взаимодействие корректно настроенными сетевыми экранами, рабочие места оснастить современными средствами ИБ-мониторинга. Но наложенные средства не панацея. Отдельные принципы, заложенные в архитектуру системы безопасности на этапе ее проектирования много лет назад, делают конечное решение исходно подверженным современным киберугрозам.
К таким ошибочным принципам можно отнести ориентированность на работу в изолированном сегменте сети, отсутствие защиты протоколов коммуникации с оборудованием или работа в операционной системе только с административными правами.
Только решение, исходно спроектированное с учетом актуальных требований по обработке персональных данных и кибербезопасности, позволит качественно обеспечить физическую безопасность и минимизировать экономические, юридические и репутационные риски взлома и утечки данных, которые сегодня как никогда высоки.
Список литературы
- https://www.infowatch.ru/company/presscenter/news/obyem-utechek-persdannykh-v-mirevyros-vdvoye
- https://www.infowatch.ru/analytics/analitika/utechki-informatsii-v-mire-i-rossii-za-pervoyepolugodiye-dve-tysyachi-dvadtsat-chetvertogo-goda
- https://www.garant.ru/news/1770029/
- https://www.secuteck.ru/news/sber-lichniyedanniye-pochti-90-vzroslogo-naseleniya-rossiiest-v-otkritom-dostupe
Опубликовано в журнале "Системы безопасности" № 6/2024
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>
Поделитесь вашими идеями