Глушкова В.В.
Защита данных в Украине: зачастую полное и бездумное копирование европейских законов без учета местных особенностейВера Глушкова, старший научный сотрудник Института кибернетики им.В.М.Глушкова НАН Украины 15 Ноябрь 2013497http://interview.antivirus.ua/sites/all/themes/anti/images/count_view.png); width: 24px; height: 13px; position: relative; float: left; margin-top: 2px; margin-right: 10px; background-position: initial initial; background-repeat: initial initial;"> 15http://interview.antivirus.ua/sites/all/themes/anti/images/approve_dark.png); cursor: pointer; background-position: 0px 0px; background-repeat: initial initial;" title="Голос за!"> Голос за!0
http://interview.antivirus.ua/sites/all/themes/anti/images/count_quote.png); width: 24px; height: 17px; position: relative; float: left; margin-right: 10px; background-position: initial initial; background-repeat: initial initial;">
События октября, в особенности взлом базы данных Министерства юстиции Украины, свидетельствуют о том, что Украине пора задуматься над серьезностью проблемы защиты данных. Но пока ни о каких изменениях никто и не говорит.Антивирус.ua попытался выяснить основные проблемы, связанные с защитой данных в нашей стране, пообщавшись со старшим научным сотрудником Института кибернетики им.В.М.Глушкова НАН Украины Глушковой Верой Викторовной.
Вера Викторовна, с каждым днем мы сталкиваемся со свидетельствами актуальности проблем киберзащиты в нашей стране. Вот в начале октября произошел взлом базы данных Министерства юстиции Украины. Так остановили работу 12 государственных реестров. Выходит, что проблема защиты данных является злободневной темой для Украины?
Я считаю, что это одна из самых злободневных тем не только для Украины, но и для всех стран. Сегодня мы осуществляем переход к информационному обществу. А этот переход характеризуется тем, что удельный вес экономики, переносимый в виртуальную сферу, постоянно увеличивается. В виртуальное пространство переносятся все информационные потоки, в виртуальной сфере сохраняются данные не только на каждого конкретного пользователя, но и данные фирм, государственные, коммерческие данные. Защита таких данных приобретает все большее и большее значение. Технологии развиваются очень быстро и с каждым днем они становятся все сложнее, соответственно, стоимость защиты возрастает и цена потери большинства видов данных тоже возрастает с каждым днем.
Насколько это страшно – взлом, утечка данных? Это ведь несет какой-то материальный ущерб?
Конечно. Это несет материальный ущерб и бюджету, и каждому конкретному человеку в отдельности. Допустим, те же медицинские данные – они относятся к разряду уязвимых данных. Со следующего года у нас планируется проведение медицинской реформы, и вместе с этим будет создаваться единый государственный медицинский реестр, где будут храниться все данные из поликлиник, больниц и т.д. Деньги на создание такого реестра дает Всемирный банк. Предположим, на сервере будут соблюдены все стандарты защиты. Но, как сбор и передача данных будет проходить в поликлиниках? Перехват данных может произойти и на маршруте от поликлиники до этого сервера (если линии не защищены), и в самой поликлинике.
А как могут использоваться медицинские данные?
«Когда мы больны, мы порой не хотим говорить об этом даже с близкими, тем более – на работе. А представляете, если такие данные будут опубликованы в интернете?»
Самое безобидное – это нападение на потенциального клиента представителей фармацевтических фирм, которые будут наперебой предлагать ненужные препараты, оперируя диагнозом человека.
Но гораздо хуже, если о диагнозе, к примеру, узнает работодатель больного. И при устройстве на работу из двух человек – больного и здорового, несмотря на профессиональные качества, выберут, скорей всего, здорового. Политическим деятелям и публичным людям очень легко можно подпортить карьеру, зная их медицинский диагноз. Даже безобидные болезни могут сильно испортить жизнь человеку. Ведь, когда мы больны, мы порой не хотим говорить об этом даже с близкими, тем более – на работе детализировать. А представляете, если такие данные будут опубликованы в интернете?
Но что-то же нужно с этим делать. А государству, получается, это совершенно неинтересно?
Сложно сказать. Власти говорят, что сервер в Министерстве здравоохранения будет защищен. В Минюсте он тоже был защищен… Ощущение такое, что государство относится к проблеме защиты персональных данных, как к третьестепенной проблеме.
В последнее время мне приходилось много общаться с управленцами и я могла наблюдать, что люди, в большинстве своем, не понимают важности и серьезности тех последствий, которые может повлечь за собой утечка данных.
«В госорганах более более 70% ПО – ворованное»
Почему-то у нас в стране вопросы защиты персональных данных часто рассматриваются людьми с гуманитарным образованием, а IT-специалисты привлекаются недостаточно. Поэтому в такой аудитории видишь недопонимание технической стороны проблемы. Например, 10 апреля я выступала на слушаниях в Комитете по вопросам прав человека, национальных меньшинств и межнациональных отношений. Что интересно – там практически не было специалистов по IT. После выступления люди подходили и спрашивали: «Неужели все так плохо?» А ведь в моем выступлении речь шла о простых вещах, о том, что по официальным данным в органах государственной власти 47% программного обеспечения – ворованные продукты, а не лицензионные. Причем, это официальные данные Госслужбы по вопросам защиты персональных данных. По всей видимости, эта цифра больше, так как Microsoftозвучивает цифру более 70%. Но даже то, что озвучивают в органах власти – это очень много.
Кстати, я задавала вопрос о расхождении в данных директору по технологической политике компании «Microsoft Украина» Шмелеву Михаилу. Различие в данных он объяснил разными методиками подсчетов, сказал, что на Microsoft считают количество нелицензионных продуктов по копиям, а Госслужба по вопросам защиты персональных данных рассчитывает пиратское ПО в денежном выражении.
А что означает такой высокий процент нелицензионного ПО в органах государственной власти?
Минимальная защита, которая должна быть установлена при автоматической обработке данных, – есть такой приказ Минюста – это антивирус. Антивирус на ворованном обеспечении работает некорректно, потому что не происходят обновления, или программа обновляется неправильно, в общем, вы сами понимаете. Получается, что даже минимальная защита в органах государственной власти не обеспечивается.
Может быть Вы знаете, проводит ли государство какие-то образовательные мероприятия для своих сотрудников?
Проводит, но результат пока слабоват. Гораздо более глубокое обучение происходит после крупных скандалов, таких как со Сноуденом и др. (смеется, – ред.).
Хотя, должна отметить, что руководители Государственной службы по вопросам защиты персональных данных проводили достаточно активную работу, в частности, в соцсетях, по разъяснению проблем, касающихся защиты персональных данных. Неплохо было бы, чтобы эту практику и их опыт подхватили и использовали чиновники других ведомств.
Но, к сожалению, должного понимания у многих руководителей пока еще нет, а также нет должного финансирования, что очень важно.
Как вы думаете, почему чиновники не хотят понять важность защиты данных? Потому что это непосредственно их пока не касалось?
«Самая лучшая защита должна быть у обеспеченных людей»
Наверное. Мне кажется, что случай со Сноуденом очень положительно повлиял на решение этих вопросов. Не могу сказать, правильно он поступил или нет, потому что не знаю его мотивации, но последствия оказались положительными. Люди об этом заговорили и поняли, что не так все просто. Что их данные могут попасть к кому угодно, куда угодно, а потом эти данные могут быть использованы против них.
Кстати, специалисты по защите персональных данных делят пользователей на три типа: бедные, со средним достатком и богатых. Самая лучшая защита должна быть у обеспеченных людей. Человек, который живет на зарплату, не так переживает об информационной безопасности. Ну, украдут у него зарплату с карточки – месяц продержится. Что еще могут украсть? Но чем богаче человек, тем больше вероятности, что ему есть что терять, и тем сильнее должна быть защита.
А как вы думаете, после этой ситуации с Минюстом, произойдут позитивные изменения в нашей стране?
«В Министерстве юстиции произошла утечка информации и данные по этим реестрам возможно уже продаются на Петровке»
Хотелось бы. Потому что те реестры, которые обслуживались в Минюсте – это же очень серьезные реестры, связанные с материальным имуществом. Не буду комментировать все события, но понятно, что там произошла утечка информации, и данные по этим реестрам возможно уже продаются на Петровке.
Кому это могло быть интересно?
Это борьба за сферы влияния. Но мне, как специалисту, не это интересно. Интересно, почему обслуживание государственных, очень серьезных реестров было полностью отдано на откуп коммерческой фирме? Я считаю, что такие вещи недопустимы в государстве. И второе – впечатляют те суммы, которые платило государство и мы с вами, как налогоплательщики, на содержание этих реестров. По подсчетам специалистов эти суммы завышены как минимум в 200 раз.
«По данным опрошенных редакцией "proIT" экспертов, реальная среднерыночная стоимость полного сопровождения 15 из 18 государственных реестров Информационного центра Министерства юстиции составляет 175-250 тыс. грн в месяц, тогда как Минюст выделил Госинформюсту на ведение всех 18 государственных реестров в 2013 году в общей сложности 625,8 млн грн, т.е. в среднем 52,1 млн грн в месяц»
И все же, защищаются ли сегодня каким-то образом данные в госсекторе?
Защита данных – это дорогая вещь. У нас существуют компании, которые могут предоставить защиту, но только за большие деньги, а государство деньги вкладывать в защиту своих данных не спешит. Только в этом году, в апреле месяце, начали выделяться деньги на лицензирование ПО в госорганах. Из необходимых на сегодняшний день 1,5 млрд грн для лицензирования ПО в госорганах, госслужбы выделили пока только 100 млн грн на решение этой проблемы. И то это происходит в рамках борьбы с пиратством, а не в рамках защиты персональных данных, ведь Украину в этом году признали главным мировым пиратом. К нам приезжали представители Евросоюза и «грозили пальцем» – и только после этого началось выделение денег на лицензирование ПО в государственных органах.
Но опять же, в этот список необходимого лицензионного ПО для госорганов не вошли антивирусники – так как деньги выделялись только в рамках борьбы с пиратством. Здесь мы сталкиваемся со второй болезнью – нет комплексного и системного подхода в решении проблем. У нас отсутствует доктрина и стратегия развития научно-технического развития страны, не проработаны на должном уровне основные концептуальные и нормативные документы, в законах виден разнобой. Потому что принимаются эти законы чаще всего ведомственным порядком – какое ведомство выиграет. А, как говорится, для корабля, который не знает, куда плывет, ни один ветер не будет попутным.
Или еще один метод использует наше государство – полное и бездумное копирование европейских законов без учета местных особенностей и ситуации в стране: «Щоб було, як у Европі». Работая по этому методу мы скорее удаляемся от Европы, чем приближаемся к ней. Это несерьезный подход. Безусловно, надо синхронизировать наше законодательство с европейским, но надо делать это разумно, с учетом наших реалий и учетом интересов государства.
Может, такая ситуация связана с тем, что мы пока не интересны западным странам? А если бы с нами вели кибервойну, все было бы иначе?
Да, если бы нас к стенке прижали, наверное, засуетились бы. Но, пожалуй, Вы правы, пассивность в этой сфере, в частности, можно объяснить и тем, что Украина не состоит в числе главных геополитических игроков на мировой арене. Так, по видимому, многие у нас думают – и соответственно не придают значение киберзащите. Но хочу заметить, что Украина находится на пересечении очень важных интересов этих главных игроков. И поэтому при определенных обстоятельствах может пострадать даже больше , чем они.
Лучше поступать, как говорили древние римляне: «Хочешь мира – готовься к войне». Что означает – мир стране гарантирует только ее надежная защита и оборона. Это ведь аксиома.
А нормальной защиты пока ни у кого нет в Украине?
Есть, конечно, защита. Банки, например, так работают, они работают с соблюдением международных стандартов, они чисто технически не смогут работать, если все эти стандарты не будут соблюдены. Крупным коммерческим предприятиям, предприятиям, которые работают на аутсорсинг, необходимо соблюдать все стандарты защиты данных, иначе их продукция не будет покупаться. А у средних и мелких фирмы порой просто не хватает средств. На украинском рынке сегодня мало хороших предложений, так как нужно предлагать комплекс защиты под потребителя, в зависимости от его потребностей и возможностей. Для этого нужны разные пакеты предложений, но такой гибкости у нашего рынка пока нет.
А как, на Ваш взгляд, можно было бы изменить эту ситуацию?
Это комплексная проблема. Во первых, должна быть заинтересованность руководства. Об этом говорил еще академик Глушков. Это его знаменитый принцип «первого лица» или «первого руководителя». Об этом он писал еще, когда строил ОГАС, почти 50 лет назад. За последние несколько месяцев я читала несколько статей на подобную тему. Статьи писали руководители фирм, работающих на рынке защиты данных (например, Алексей Орловский в интервью для нашего сайта, - прим.ред.). Они пришли к тому же выводу, что и Глушков много лет назад – установка системы защиты данных не будет успешной на том предприятии, на котором нет личной серьезной заинтересованности руководителя этого предприятия в подобной защите. Осмелюсь предположить, что этот же принцип может быть применим и к руководству страны.
Мне кажется, стоит организовать какие-то курсы для руководителей по компьютерной грамотности, что ли. Потому что сейчас мы вступаем в такое время, когда недопонимание проблем по защите данных может повлечь за собой очень серьезные экономические и политические последствия.
«В России даже при губернаторах существуют Комиссии по информационной безопасности»
Например, в России даже при губернаторах существуют Комиссии по информационной безопасности и эти комиссии разрабатывают и внедряют программы по обучению и повышению квалификации чиновников в области защиты персональных данных. Неплохо бы и нам перенять этот опыт.
Значит, пока ничего такого не предвидится, если людям все равно, и ничего конкретного не произошло?
Думаю, что еще пара случаев с Минюстом или еще пара Сноуденов, и тогда, может, что-то изменится к лучшему (улыбается, – ред.) Но для позитивных изменений должны быть: политическая воля, финансы и обязательно должен быть системный, комплексный подход к проблеме ( кстати, тоже один из принципов Глушкова). Должна быть очень серьезная проработка и согласование различных документов, законов и нормативных актов, касающихся всего комплекса киберзащиты. Вопросы киберзащиты и защиты персональных данных должны быть вынесены на уровень проблем национальной безопасности. А не так, как мы сегодня делаем – латаем дырку в одном месте и открываем в другом, т.е. живем по принципу тришкиного кафтана.
Будем надеяться, что скоро государство заинтересуется этим вопросом. Спасибо за откровенный разговор!
И Вам спасибо.
Интервью брала Кристина Москаленко
Печатается по материалам: http://interview.antivirus.ua/node/4201.