“Читайте списки трендов с конца”: почему защита данных долго будет главной IT-темой

В начале года традиционно публикуется огромное количество подборок трендов в каждой отрасли, IT не исключение. Глава крупного хостинг-провайдера утверждает, что самый важный тренд для белорусского бизнеса обычно упоминается в последнюю очередь.

Сергей Повалишев, генеральный директор hoster.by — провайдера облачных решений и хостинга, технического администратора национальной доменной зоны:

— Мы много слышим о тотальной автоматизации, аэрокосмических технологиях, проникновении искусственного интеллекта во все сферы жизни и околоземного пространства. Но я бы хотел поговорить о безопасности информации и работе с персональными данными. Это первое, на что я хотел бы обратить внимание каждого: от IT-директоров компаний до простых владельцев сайтов и представителей госучреждений.

На эту тему вроде и много говорят, но мало кто предпринимает конкретные действия, при этом случаи утечки данных случаются на порядок чаще, чем думают интернет-пользователи. Кроме того, в Беларуси за год сильно изменилось законодательство в области информационной безопасности.

Мы на личном опыте прочувствовали скорость изменений. Нашим ответом стала линейка специализированных услуг и создание лаборатории защищенных сервисов. Особенность таких продуктов в большом количестве компонентов: на уровне «железа», ПО, всевозможных аттестаций, выстраивания процессов и сопровождения клиентов. Мы создаем безопасные решения для разных задач — от бюджетного защищенного хостинга для госсайтов до облачных дата-центров, которые работают по международным стандартам для обработки персональных данных или информации платежных карт.

Что конкретно меняется в законах?

— Волну усиленной защиты госсайтов принесла с собой последняя версия Указа Президента №60. Несмотря на широкое освещение, многие представители государственных органов и организаций до сих пор не в курсе, что их сайты должны размещаться только на специализированном защищенном хостинге у поставщиков, уполномоченных Оперативно-аналитическим центром. Такая услуга в частности способна закрывать программные уязвимости сайта и предотвращать взломы. Это очень актуально для госсайтов и организаций, где мало IT-специалистов, а цена последствий взлома или утечки очень высока.

Еще в Беларуси скоро вслед за всем миром будет принят закон о персональных данных, что повлечет ряд обязательств для систем, которые принимают, обрабатывают или хранят данные пользователей. Мы аттестовали свою инфраструктуру для работы с информацией ограниченного распространения (классы 3-ФЛ / 3-ЮЛ). Должен признаться, это непростая и дорогостоящая процедура.

Что за классы 3-ФЛ / 3-ЮЛ? Это определенный уровень секретности?

— Не совсем. Пятый класс — общедоступные данные, например, контактная информация на сайте. Данные 4 и 3 классов имеют ограниченный доступ, при этом требования безопасности к третьему выше. Это персональные данные, коммерческая, врачебная, адвокатская тайна, сведения о юридических лицах и государственных организациях, распространение которых может повлечь ущерб их интересам и т.д.

Чтобы работать с данными 3 класса организации необходимо пройти аттестацию и разместить свою информационную систему в соответствии с регламентом. Вплоть до отдельной стойки со своей системой видеонаблюдения в дата-центре. Мы успешно прошли такую аттестацию и можем предоставлять услуги по размещению данных клиента, а также готовы оказать помощь в аттестации другим организациям.

В чем видите проблему недостаточного внимания к безопасности со стороны компаний?

— Причины разные. Например, в IT-секторе это смещение фокуса на бизнес-процессы, порой в ущерб безопасности. Для других компаний сюда добавляется отсутствие компетенций в области защиты ПО и инфраструктуры. Мелкий бизнес вообще пока не воспринимает эту тему всерьез. Государственный сектор включает все вышеописанное в той или иной степени, плюс проблемы финансирования.

Важно понять, что не обязательно строить дорогостоящую массивную систему безопасности. Начать можно с малого: обновить CMS на последнюю версию и установить на сайт SSL-сертификат, который кстати можно бесплатно получить у хостинг-провайдеров. Затем постепенно перенести с офисных серверов бухгалтерию и бизнес-приложения в облако.

Каждый раз, когда я слышу истории компаний, где все хранится на сервере под столом у директора, у меня недоумение: как им не страшно? Это же просто кусок железа, который может завтра сломаться и унести с собой всю отчетность, документацию и т.д. Это как привет из 90-х.

По мнению экспертов от разработчика антивирусного ПО ESET, проблема защиты данных пользователей останется актуальной до тех пор, пока размер штрафа за нарушение конфиденциальности не будет соизмерим со значительной частью доходов мегакорпораций. Вы согласны с этим мнением?

— Да, ценность данных пользователей пока недооценивается, это факт. Многие требования безопасности воспринимаются как «палки в колеса» для бизнеса. Но правда в том, что совсем скоро «цифровые аватары» будут частью нашей с вами повседневной жизни, а доступ к персональным данным пользователей будет равносилен доступу к их мозгу, к их жизни. Лучшее, что я могу посоветовать — это начать с сегодняшнего дня думать о возможных последствиях и рисках для бизнеса и усиливать информационную безопасность. А для пользователей — осваивать навыки цифровой гигиены. Начать можно с того, чтобы обращать внимание на наличие SSL-сертификата на сайте, где вы собираетесь ввести свои данные или совершить платеж. Это просто, достаточно посмотреть в браузерную строку.

Задумываться о том, что может произойти с вашими данными, это не просто рекомендация. Реальность, законодательство и громкие невеселые кейсы все равно поставят этот вопрос в топ повестки дня. Лучше начать развивать хорошие привычки уже сегодня.
По номеру +375 17 239 57 60 можно узнать, как выбрать подходящий тип хостинга.