В последние несколько лет мы наблюдаем, как растут требования к операторам связи, принимаются нормативно-правовые документы, накладывающие дополнительные обязанности и требования, при этом практически сразу повышаются меры ответственности за их неисполнение.
Ассоциация компаний связи всегда соглашалась, что государство должно контролировать и усиливать контроль за деятельностью операторов связи и пользователей их услуг, в этом и заключается роль государства. При этом мы всегда говорили о том, что при издании того или иного документа необходимо проводить его экспертизу на профессиональном уровне, собирая мнения участников рынка, и, самое главное, проводить анализ его влияния на отрасль, а также дублирования функций.
Сейчас очень много внимания уделяется хакерским атакам и краже персональных данных, и в этой связи государство повышает требования по защите критической инфраструктуры и персональных данных. При этом основной посыл всех документов направлен на операторов по работе с персональными данными, а последние проекты документов говорят о том, что нужно исключать хранение и обработку избыточных персональных данных.
Изначально каждое предприятие, которое работало с физическими лицами на постоянной основе, обязано было заключить на бумаге договор и хранить его в архиве в соответствии с установленными требованиями. Никакой кражи персональных данных из этих договоров не могло быть и речи. Технический прогресс не стоял на месте, хранить и искать информацию в бумажных договорах стало сложно, тем более стали доступны автоматизированные системы обработки и хранения данных.
Для операторов связи, например, появились требования при реализации СОРМ хранить, обрабатывать и передавать данные об абонентах, причем данные должны быть актуальными. Ассоциация знает массу случаев, когда паспортные данные, адреса не проходят проверку и реализация СОРМ становится невыполнимой, что становится непреодолимым препятствием для выполнения требований законодательства.
Новые требования СМЭВ также ничего хорошего не обещают – операторы связи снова должны сделать систему обмена и снова пересылать персональные данные, а это очередная задача по созданию системы обработки персональных данных, и снова нужно думать о ее защите.
Теперь персональные данные предприятие обязано постоянно хранить в защищенном, но обязательно доступном для указанных выше систем доступе. Таким образом государство само создает условия для возможной кражи персональных данных, ведь злоумышленникам просто нужно получить доступ к месту хранения.
У нас был успешный опыт локального хранения персональных данных вне системы обработки данных, вне автоматизированных систем расчетов с абонентами. ПД могли быть получены исключительно с локального компьютера, не подключенного к сети передачи данных. К сожалению, этот успешный опыт пришлось оставить и бросить все усилия на защиту серверов и отдельно созданной внутренней сети.
Мы считаем, что регулятору нужно просто изъять из нормативных документов требование хранить персональные данные физических лиц, а в некоторых случаях просто запретить их запрашивать. Единое и защищенное место хранения данных о физическом лице – это Госуслуги, а данные физического лица для заключения договоров и других юридически значимых действий должны подгружаться по запросу предприятия, оказывающего услугу. При этом доступ предприятий к системе должен быть свободным и понятным, позволяющим однозначно идентифицировать физическое лицо.
Такая система позволит исключить массовые запросы от предприятий или злоумышленников по персональным данным, правоохранительным органам и другим ведомствам и получить актуальные данные о физическом лице, а не те, которые когда-то внесли на предприятии при заключении договора.
Сейчас уже реализована возможность проверки в личном кабинете пользователя Госуслуг предоставленных для обработки персональных данных банками и другими предприятиями и ведомствами, а с недавнего времени появилась возможность проверки оформленных телефонных номеров. Уже реализован функционал заключения через Госуслуги договоров купли-продажи транспортных средств.
По нашему мнению, необходимо вообще исключить сбор и обработку персональных данных предприятиями и оставить эту функцию исключительно государственным органам. Таким образом будет исключена возможность кражи персональных данных, не будет необходимости хранить их на каждом предприятии, создавать избыточные системы контроля, защиты информации. Благодаря этому ускорится процесс обмена достоверной и проверенной информацией с различными ведомствами. При этом будет сокращены до минимума запросы на предприятия от правоохранительных и налоговых органов, все они будут учтены в информационных базах с указанием даты, времени и лица, который такой запрос сформировал.
Аналогичная ситуация складывается сейчас и с требованиями к операторам связи устанавливать DPI-системы, ограничивающие доступ к запрещенной информации, (Ревизор), подключать технические средства противодействия угрозам (ТСПУ), приобретать и внедрять СОРМ. Большинство задач, решаемых в ходе реализации указанных требований схожи, но, к сожалению, они нагружают не только персонал предприятий связи, но и предполагают прохождение, дублирование трафика через дополнительное оборудование, а это значит уменьшение отказоустойчивости и связанности.
К сожалению, приходится констатировать, что нет единого подхода к реализации задач, направленных на усиление контроля за персональными данными, государством только усиливаются меры ответственности, а предприятия нагружаются лишними требованиями.
Об авторе
- Войдите или зарегистрируйтесь, чтобы оставлять комментарии
