Как защитить персональные данные?
Сергей Букреев,
директор дивизиона «Урал» ЗАСО «ЭРГО Русь»:
Максимально автоматизировав процесс ввода информации и четко регламентировав доступ к ней, можно свести к минимуму риски утечки данных. То есть максимально устранить человеческий фактор. Но остается открытым вопрос защиты данных. Как известно, любую защиту, придуманную человеком, другой человек может обойти. Сама идея правильная, но реализовать ее в полной мере, думаю, пока невозможно. И поскольку с базами данных в конечном итоге работают люди и к персональным данным при определенных условиях могут допускаться сотрудники специальных служб, всегда есть вероятность утечки информации.
Николай Петелин,
директор по информационным технологиям Банка24.ру:
— Никакой закон не будет действовать, пока информационная безопасность не станет частью корпоративной культуры. Например, в некоторых банках Екатеринбурга, если подойти к столу операционистов, вы без труда увидите на их столах все данные клиентов, которых специалист обслужил до вас. В такой ситуации ни о какой защищенности персональных данных не может идти и речи. Люди должны чувствовать ответственность за то, что они делают. Отмечу, что оператор, который обрабатывает данные клиентов, должен не только заботиться о том, чтобы эта информация не попала в руки мошенников, но и о том, чтобы она была защищена от копирования внутри организации. Если операторы будут действовать в соответствии с этими требованиями, риск утечки информации значительно снизится. Кроме того, вполне действенной мерой по защите данных являются закрытые протоколы HTTPS в Интернете, которые позволяют скрывать данные пользователя в процессе их передачи в банк. Пока большинство сайтов, на которых люди вводят свои паспортные данные или другую личную информацию, пренебрегают этой возможностью защиты и используют открытый протокол HTTP.
Игорь Черноголов,
президент ГК «Пенетрон-Россия»:
— Самый эффективный способ защиты информации — никому ее не доверять. Не может сотовый оператор обеспечить стопроцентной защиты информации о клиенте, допускает ее утечку — значит, пусть подключает анонимно. Требует закон от сотового оператора собирать данные об абонентах — отменить закон. Ну, а если вы боитесь, что информация о вас попадет кому-то в руки — не пользуйтесь сотовой связью.
Артем Черанёв,
генеральный директор компании «Инсис»:
— Абсолютной защиты не существует. Это аксимома. Насколько бы надежно ни защищалась информация (персональные данные, коды запусков ядерных ракет, метеосводки), либо материальные ценности (золото, деньги, оружие) — любую защиту можно обойти. Вопрос только в цене вопроса и во времени. Поэтому принцип защиты любых ценностей состоит в том, чтобы злоумышленник тратил деньги, время и рисковал при взломе барьеров настолько, чтобы выгоды от получения защищаемого объекта нивелировались затратами на обход его защиты. Идеально защищенный объект, таким образом, это тот, о котором никто ничего не знает. Аналогично идеально защищенная информация — та, которой не существует. Если за какую-то информацию один человек готов платить деньги, а другой имеет к ней доступ — эта информация обязательно уйдет «налево». Вопрос только в количестве денег (либо других бонусов) и времени, необходимых для подкупа ответственного лица. Таким образом, единственно верным способом снизить риск (но ни в коем случае не защитить абсолютно) утечки персональных данных — это жесткое ограничение количества лиц, имеющих к этим данным доступ. И, соответственно, постоянный контроль этого контингента (селекция на этапе допуска, регулярные проверки, внезапные ротации кадров). Другие методы (ограничение портов ввода-вывода на ЭВМ, применение методик шифрования и т. п. ), конечно, несколько повышают степень защиты, но на практике достаточно легко обходятся.
Зоя Таджева,
руководитель проекта Программа лояльности «Связной Клуб»:
— Ни один закон, ни при каких обстоятельствах не сможет перекрыть все лазейки для злоумышленника, в случае если у него есть сознательное желание преступить действующие нормы законодательства. Считаю, что данный закон поможет, так как впервые возложена ответственность на операторов баз персональных данных и введены некие унифицированные стандарты. То, что в дальнейшем, возможно, положения данного закона будут претерпевать изменения после столкновения с реалиями, — это очевидно, и, с моей точки зрения, не критично.