Менее половины белорусских компаний готовы к работе с персональными данными. И это проблема

Центр кибербезопасности hoster.by провел опрос 130 технических специалистов из различных белорусских организаций, чьи информационные системы так или иначе работают с персональными данными. Итогами исследования эксперты поделились с «Про бизнес»: например, лишь 39% опрошенных заявили, что их система прошла соответствующую процедуру аттестации, а 49% считают, что выполняют все требования законодательства в области защиты персональных данных.

Стоит отметить, что абсолютное большинство компаний имеют дело с персональными данными. Ведь это и информация о клиентах, сотрудниках, даже имя и адрес доставки из формы обратной связи на сайте. Не говоря уже о современных торговых площадках, страховых компаниях и финансовых организациях.

Сайты взламываются каждый день

Центр кибербезопасности hoster.by за 2024 год зафиксировал без малого 500 инцидентов, каждый из которых затрагивал до 150 сайтов. Персональные данные — одна из главных мишеней при атаках.

Требования к системам, которые обрабатывают персональные данные, определены Приказом Оперативно-аналитического центра при Президенте Республики Беларусь № 66. Именно там указан перечень конкретных мер по защите данных ограниченного распространения, в том числе:

• Система мониторинга событий информационной безопасности.
• Средства защиты технологий виртуализации.
• Антивирус.
• Межсетевой экран.
• Средства криптографической защиты информации.
• Средства разграничения доступа к данным.
• Средства контроля за утечками конфиденциальной информации.
• Средства резервирования данных.

— Руководитель каждой организации должен понимать, к какой категории относится информация, которая обрабатывается в информационной системе, — комментирует генеральный директор hoster.by Сергей Повалишев. — На практике владелец, например, небольшого интернет-магазина может не задумываться над тем, что номер телефона или адрес доставки — это уже персональные данные клиентов, а их обработка накладывает на сайт магазина определенные обязательства.

Результаты опроса

Менее половины организаций выполняют требование законодательства по аттестации своей системы. К сожалению, это ставит в уязвимое положение и клиентов, чьи данные могут легко оказаться в руках злоумышленников, и сами организации, которые работают по сути в «серой» зоне.

— Несмотря на низкий процент аттестованных к данному моменту систем, я вижу, что их число уверенно растет. Поэтому цифры надо смотреть в динамике — через год картина может быть иной, — считает руководитель центра кибербезопасности hoster.by Антон Тростянко. — Что меня тревожит больше, так это 14% респондентов, признавшихся в отсутствии элементарного антивируса.

Планы по реагированию на киберинциденты и восстановлению работоспособности есть также менее чем у 50% опрошенных.

Лучше обстоят дела с локальной нормативной документацией. Полный набор документов есть у 3 из 4 компаний. В то же время, данные графиков показывают, что многие относятся к этой сфере формально, включая ответственных за обеспечение информационной безопасности. А ведь именно на этих специалистов, как и на руководителей, распространяется административная (а в ряде случаев и уголовная) ответственность за нарушение действующего законодательства.

— Информационная безопасность начинается с правильной инфраструктуры. Безусловно, существует множество технических и законодательных нюансов, поэтому все чаще проектирование, создание и аттестацию IT-инфраструктуры отдают на аутсорс. Это закономерный шаг, который позволяет с одной стороны не тратить время на технические тонкости и сосредоточиться на развитии бизнеса, а с другой — быть на 100% уверенным в стабильной и безопасной работе проекта, — считает Сергей Повалишев.