Цифровизация в России: проблемы информационной безопасности

Вопрос изучения цифровизации в России и аспектов ее информационной безопасности актуализируется с каждым этапом данного процесса в соответствии с указом прези-дента1. Сфера информационной безопасности в настоящее время является одной из наиболее перспективных и быстро развивающихся; проблемы, связанные с ней, обсуждаются на всех уровнях: начиная от обычных граждан и заканчивая президентом. Особое внимание уделяется утечке информации, в СМИ эти темы освещаются, даже если ситуация не несет серьезного ущерба. Согласно мнению специалистов в области информационной безопасности, рассмотрение подобных проблем благоприятно сказывается на развитии сферы [6], например, предприниматели осознают, что безопасность информации – один из ключевых элементов гармоничного функционирования в отрасли [14]. Подобная публичность сказывается и на развитии технологий защиты персональных данных, способствует преодолению трудностей цифровизации (рис. 1).

Рис. 1. Основные трудности внедрения цифровых технологий, %

Уровень развития цифровизации у каждый отрасли разный, лидерами стабильно считаются сфера ИТ, финансы и банки. Согласно исследованию KMDA, большинство компаний находится на втором уровне развития цифровой инфраструктуры [1] (рис. 2).

Первый уровень характеризуется несвязанной инфраструктурой, цифровизация затрагивает лишь отдельные элементы. Как видно на рисунке, на первом уровне находится 36 % компаний, что является тормозящим фактором в совершенствовании организации. Незначительное изменение внешних обстоятельств может негативно сказаться на техническом и стратегическом развитии компании.

Второй уровень демонстрирует непосредственную связь между элементами: они связаны и интегрированы друг с другом, происходит построение связанной инфраструктуры. На 2020 год более 45 % респондентов используют интегрированную цифровую архитектуру в компании, так как это открывает дополнительные возможности в рамках автоматизации и в дальнейшем обеспечивает построение сложных цифровых систем.

На третьем уровне на базе инфраструктуры выстраивается целостная цифровая модель организации, процессы компании оцифрованы. Построение подобной модели способствует гибкости и сокращает затраты на множество процессов развития и масштабирования компании, также влияет на эффективность и устойчивость системы в целом. Однако лишь 10 % компаний уже имеют полную цифровую бизнес-модель.

Наименьшее количество компаний (лишь 3 %) находится на четвертом уровне – внедрение инструментов предиктивности и самокоррекции дает возможность увеличить эффективность и устойчивость цифровой инфраструктуры и строить планы на опережение.

Полностью зрелая открытая инфраструктура – пятый уровень – отражает принцип построения инфраструктуры с открытыми интерфейсами, дающий возможность использования данных из внешних источников и поиска инновационных продуктов и услуг при цифровом партнерстве. К данной группе относятся исключительно компании – лидеры цифровой трансформации, поэтому процент таких компаний достаточно мал [4].

Рис. 2. Оценка уровня цифровой инфраструктуры в российских компаниях, %

Процесс цифровой трансформации в бизнесе неразрывно связан со сбором, обработкой, хранением персональной информации сотрудников, клиентов, данных о партнерах и поставщиках и др. [9]. С переводом каждого бизнес-процесса в цифровую среду возрастает и открытость баз данных для воздействия со стороны (хищения, подмены, передачи третьим лицам). При этом действующими лицами могут выступать не только мошенники, действующие за пределами организации, но и сами сотрудники по неосторожности или умышленно. Каждый пользователь конфиденциальной информации является потенциальным инсайдером. Говоря о пользователях, необходимо отметить психологический аспект: если не освещать вопросы информационной защиты и правила работы с данными, то вероятно формирование чувства ложной безопасности, несмотря на то что это касается всех и необходимо задумываться о важности сохранности данных.

По данным исследований одной из ведущих компаний в области разработки программного обеспечения для персональных компьютеров и центров обработки данных Symantec, примерно 43 % кибератак приходится на малый бизнес. IBM называет цифру в 62 % кибератак на малый и средний бизнес, или 4 000 атак в день [5]. Компания «СерчИнформ» представила свои аналитические отчеты за последние несколько лет по изучению уровня информационной безопасности в компаниях России [3; 4]. За последние три года аналитики отмечают тенденцию к снижению затрат на обеспечение сохранности данных. Согласно опубликованным данным, несмотря на возрастающий уровень киберугроз и особенности занятости в условиях пандемии (перевод сотрудников на дистанционную занятость), в 2020 году 21 % компаний сократили свой бюджет на информационную безопасность. В результате по итогам только первого полугодия 2020 года совокупный ущерб от пропажи данных компаний превысил 1,8 млрд руб. 78 % утечки данных происходит в результате умышленной передачи данных третьим лицам сотрудниками компании [12]. Одной из причин массового появления инсайдеров в российских организациях специалисты называют падение доходов персонала в результате кризиса, что снижает лояльность сотрудников и делает их более доступными для мошенников. Объектом хищения данных выступают не только персональные данные клиентов компании, но и информация об их платежеспособности, поэтому в первую очередь от деятельности злоумышленников страдает банковская сфера.

Подобная статистика является хорошим основанием для проработки вопроса информационной безопасности компаний. Специалистами российской ведущей компании в области обеспечения информационной безопасности разработаны базовые принципы сохранности данных [10]. Важным направлением в этой работе является именно работа с персоналом, проведение разъяснительных и обучающих мероприятий в области работы с данными на любых уровнях.

Пропорционально уровню цифровизации организации возрастает и объем потенциально привлекательной для мошенников информации. Особую опасность представляют киберугрозы для государственной сферы. Владея серьезным банком персональных данных и сотрудников, и граждан, данный сектор пока не обеспечивает абсолютную безопасность и полную защиту информации. Причиной этого является желание лишь оптимизировать определенные отрасли с минимальными затратами различных ресурсов. Например, переход на цифровые трудовые книжки и медицинские карты открывает большие возможности для хакеров и мошенников, которые впоследствии смогут продавать данные или шантажировать граждан полученной информацией. Осознание данных рисков в госсекторе уже имеется, однако решение этих вопросов еще не найдено.

Беспокойство вызывает мобильное приложение, выпущенное МВД России для борьбы с телефонным мошенничеством. Согласно опубликованной информации о работе приложения, для его функционирования пользователи должны будут предоставить доступ к своей базе данных контактов в телефонной книге [7]. С одной стороны, такая разработка действительно может усложнить работу мошенников, но, с другой стороны, будет являться куда большим риском для хищения данных.

Ключевой программой в рамках цифровизации называют национальную программу «Цифровая экономика», описывающую трансформацию в России, но план защиты персональных данных в проекте отсутствует. Сам проект состоит из 13 основных инициатив, направленных на максимальный эффект для бизнеса и граждан, но только в 12-м пункте рассматривается вопрос сохранности данных, а именно говорится о создании специального ресурса, целью которого является обеспечение гражданам доступа к сведениям о случаях использования личной информации, а также предоставление возможности отказа от подобного использования. Директивы, гласящей, что данные пользователей необходимо защищать, в национальной программе нет, а создание единой платформы для хранения информации в едином сервисе упрощает задачу не только специалистам, которым будет проще ее контролировать, но и мошенникам, которым будет проще ее украсть.

Один из недавних случаев утечки информации – открытый доступ к персональным данным москвичей, переболевших COVID-19 [13]: в декабре 2020 года «утекла» большая часть архива, а именно база пациентов с выявленным коронавирусом. Правда, база была уже неактуальной и напоминала скорее отчет, так как содержала данные о заболевших за март–май 2020 года (в сводной таблице были представлены фамилия, имя, отчество, дата рождения, номер телефона, в том числе и иностранных граждан). Однако полученная информация может быть использована как для обогащения мошенников, так и для обогащения имеющихся баз. Примерный объем украденной информации составляет гигабайт, причиной утечки персональных данных считают передачу личной информации третьим лицам сотрудниками, занимающимися обработкой служебных документов, так как, по сведениям Департамента информаци- онных технологий, несанкционированных вмешательств в систему правительства Москвы зафиксировано не было. Однако часть массива «слитых» данных, содержащая инструкции по заполнению таблиц с персональными данными, имеет указание DIT как ссылку на название организации, их создавшей, что совпадает с аббревиатурой Департамента информационных технологий (ДИТ) Москвы [2]. При расследовании к ответственности могут привлечь всех задействованных лиц, в том числе и косвенно виновных в утечке, а именно: медицинский персонал, лиц, распространяющих информацию, операторов данных. Отягчающим фактором в этой ситуации является неприкосновенность частной жизни и врачебной тайны, в данном случае виновные могут быть привлечены не только к административной, гражданско-правовой и дисциплинарной ответственности, но и к уголовной.

Другой ситуацией, отражающей негативные последствия цифровизации, является переход на цифровые трудовые книжки, а именно пропажа трудового стажа в цифровой системе [11]. Серьезным последствием данной потери можно назвать то, что с пробелом в работе появляется и другая проблема – потеря отчислений в Пенсионный фонд. Спустя год после введения данной инновации частота подобных случаев начала возрастать. Данная ситуация решаема – необходимо предоставить договор или справки с мест предыдущей работы, также необходимо предоставить и бумажную трудовую книжку, а в случае выяснения, что отчислений не было, необходимо идти в суд, чтобы работодатель произвел необходимые отчисления.

Лучшим выходом в вышеописанной ситуации будет заверить цифровые документы у нотариуса: заказать выписку на сайте Госуслуг и заверить ее, таким образом, в случае утери электронной информации доказать ее существование будет намного проще. Более простой способ – сохранить и использовать бумажную трудовую книжку, однако с введением электронных трудовых книжек бумажный вариант данного документа уже не так актуален, и можно предположить, что с развитием процессов цифровизации бумажные трудовые книжки в недалекой перспективе уйдут в прошлое. Что касается отчислений в Пенсионный фонд, то тут вопрос состоит не столько в трудовом стаже, сколько в необходимости контроля указанных отчислений работодателем.

Проблема обеспечения информационной безопасности в России с каждым годом набирает обороты, однако на данный момент нет единой стратегии борьбы с киберугрозами. Владимир Путин в ходе заседания коллегии ФСБ прокомментировал состояние информационной безопасности России и заявил о необходимости разработки стратегии борьбы с киберпреступностью [8]. Президент также почеркнул, что возросло количество кибератак на российские информационные ресурсы, в том числе и ресурсы государственных органов.

Подводя итоги, можно отметить следующее. Использование интернета в современной жизни уже давно приобрело массовый характер: от малых предприятий до государственного сектора. Цифровая трансформация охватывает множество направлений жизнедеятельности общества. С внедрением цифровых технологий в каждый процесс актуализируется вопрос информационной безопасности. Статистика киберпреступности, нападений на компании разного уровня и объемов нанесения ущерба показывает, что на сегодняшний день решение вопроса защиты данных требует большой, серьезной работы. Это утверждение справедливо и для государственной цифровой среды. Несмотря на то что сейчас для населения угроза столкновения с противоправными действиями кажется далекой, на практике ситуация выглядит иначе, что подтверждается громкими инцидентами в области сохранности данных минувшего года. Для регулирования этой сферы необходимы более глубокая проработка политики и стратегии безопасности данных, гарантии прав пользователей Российской Федерации, а также организация широкой информационно-разъяснительной кампании по повышению цифровой грамотности.