Как работают «консалтинговые тролли» и почему белорусским компаниям нужно соблюдать GDPR
— Европейский регламент GDPR — элемент информационной безопасности. Повлияло ли его появление на белорусский бизнес и как? Ведь это европейский регламент.
— GDPR регламентирует процесс обработки персональных данных и затрагивает не только компании, которые находятся на территории Евросоюза. Регламент касается бизнеса, который работает с персональными данными физических лиц, в том числе и в других странах. Например, компаний, которые продают товары или свои услуги жителям ЕС. Неважно, к какой индустрии относится бизнес, регламент охватывает все сферы. О регламенте много говорят из-за того, что он предусматривает серьезные штрафы за нарушения. Речь идет о миллионах евро.
Однако пока практика применения GDPR ограничивается наиболее принципиальными нарушениями. Причем претензии предъявлялись только европейским компаниям. Что касается Беларуси и других стран, то не сформирована практическая методика взысканий штрафов с компаний, учрежденных не на территории Евросоюза.
Но все может измениться. Не исключено, что за нарушение GDPR очень скоро начнут наказывать и в Беларуси. Мы ведь активно торгуем и сотрудничаем с Евросоюзом, а значит, имеем доступ к персональным данным граждан ЕС.
— Штрафные санкции по GDPR выглядят убийственными для белорусских компаний…
— Да, штрафы очень внушительные. Но сейчас речь идет о репутационных рисках. Проще говоря, нарушая законы ЕС, белорусские компании могут испортить себе репутацию и лишиться зарубежных партнеров, инвесторов, возможности поставлять товары на европейские рынки.
Кстати, не исключено, что тень на репутацию белорусского бизнеса могут бросить так называемые «консалтинговые тролли» из числа компаний, которые будут искать малейшие нарушения GDPR. Например, на товарах интернет-магазина не найдется указания на возрастное ограничение. Это нарушение, а значит, тролли-аудиторы смогут требовать оплаты своих услуг под угрозой иска в суд. Так что стоит задуматься о выполнении регламента.
— Но как наказать компанию из Беларуси на 20 миллионов евро? Такие деньги точно есть далеко не у всех.
— Давайте представим, что международный суд направит аудиторов в белорусскую компанию, и по итогам их работы штраф нужно будет заплатить в европейскую казну. Сегодня это звучит странно. Но что будет завтра? Быть может, для иностранных компаний последствия нарушения GDPR будут другими: не штраф, а санкции, запрет на торговлю. Регламент игнорировать нельзя.
На самом деле никто не обязывает соблюдать GDPR. Регламент действует в отношении граждан Европейского союза и компаний, которые работают или учреждены в ЕС. Либо хотят работать на европейском рынке.
Иными словами, если хотите прийти к соседу в гости, извольте следовать его правилам. Но выбор есть всегда. На GDPR можно смело махнуть рукой, если вы уверены, что Европа — это не ваш рынок, а аналогичные законы не примут другие страны или белорусские депутаты.
Кстати, GDPR — полезный регламент, который помогает обеспечить информационную безопасность.
В Беларуси уже много компаний проделали большую работу по соответствию требованиям регламента и спокойно работают со своими европейскими партнерами. А сейчас наши профильные министерства уже говорят, что интернет-магазинам и другим компаниям, которые работают с данными клиентов, нужно готовиться к введению новых норм, похожих на европейские.
— Но если регламент GDPR будет изменяться, дополняться новыми статьями, то бизнес все время будет находиться в напряжении. Нужно будет отслеживать законодательство не только своей страны, но и ЕС.
— Законодательство в области информационной безопасности не может оставаться статичным. С появлением новых объектов цифровизации, новых возможностей и способов передачи и обработки данных требуется менять и законы. Ведь появятся новые риски и новые угрозы. Не существует такого регламента, закона или указа в области безопасности данных, который может просуществовать без изменений 5−10 лет. Сфера IT меняется очень быстро. И я бы сказал, что процесс изменений не держит бизнес в напряжении, а помогает работать безопасно, учитывая новые риски.
— В какую сумму может обойтись построение эффективной информационной защиты? Возможно, у белорусского бизнеса просто не хватает средств, чтобы себя защитить?
— Коммерческие организации в 2017 году потратили на информационную безопасность 87 миллиардов долларов, что было на 7−10% больше, чем в 2016 году.
В 2018 году в безопасность вложили 93 миллиарда долларов, а в этом году вложения ожидаются на уровне 100 миллиардов долларов.
Такой рост объясняется не только оживлением рынка, но и растущим вниманием бизнеса к реальной безопасности своей инфраструктуры. И опять же издержки на построение системы информационной безопасности большинство компаний рассматривают в качестве инвестиций. И эти инвестиции планируются заранее, а не берутся по остаточному принципу.
Согласно опросу, каждый четвертый топ-менеджер понимает практическую пользу от организации информационной безопасности в контексте своего бизнеса. Надо понимать, что каждый бизнес — это своя уникальная история. И вопрос, сколько тратить на информационную безопасность от общего бюджета компании, не является корректным. Хотя для заказчика он самый насущный.
— Как условной компании оценить риски от возможных проблем с информационной безопасностью?
— Хакерские атаки стоили глобальной экономике больше 110 миллиардов долларов. Для малого бизнеса каждый инцидент обходится в среднем в 200 тысяч долларов. Половину взломов организовали криминальные группировки против конкретных компаний. Чтобы выйти на точную цифру стоимости защиты, нужно провести инвентаризацию IT-инфраструктуры и оценить риски. После этого составляется список уязвимостей в порядке убывания их значимости, определяется перечень задач для системы безопасности. Только после этого закупается оборудование и другие инструменты, которыми вы эти задачи решаете. Если в компании нет компетенций для оценки угроз и рисков, а с этого нужно начинать, всегда можно заказать аудит. В том числе и в компании ActiveCloud. Сегодня эта процедура недолгая, недорогая и безболезненная для бизнеса.
— Из чего состоят вложения в безопасность?
— Есть исследование на тему, во сколько в среднем обходится информационная безопасность для компании малого и среднего бизнеса. Был выбран список из 50 популярных «коробочных» предложений на рынке. Разброс цен оказался довольно большим: от 50 долларов за год защиты до 6 тысяч. В среднем малый бизнес может ориентироваться на сумму 1,5 тысячи долларов для построения элементарной системы защиты от киберугроз. Дешевле всего обойдутся технические решения типа VPN для бизнеса и защиты электронной почты. Самыми дорогими будут полноценные системы мониторинга с продвинутыми инструментами реагирования на события. Они помогают защитить корпоративную сеть от масштабных атак. Могут предсказывать их начало, купировать на ранних стадиях.
— Но неужели белорусский бизнес так интересен хакерам?
— Цели, с которыми проводятся атаки, — абсолютно разные. Я сталкивался с различными случаями — от обычного хулиганства до попытки повлиять на восприятие обществом государственных органов. Да, есть заказные атаки с целью получить доступ к информации ограниченного распространения. Белорусские компании ничем не отличаются от зарубежных, которые ведут свою деятельность в современном мире и являются такими же равноправными членами мирового информационного сообщества.
— Какие наиболее частые угрозы возникают в Беларуси? Чем рискует наш бизнес?
— Давайте определим, что риск — это вероятность наступления неблагоприятного события. Этот риск имеет свою цену, которая не всегда выражается в материальном исчислении. Тут можно говорить про потерю деловой репутации и доверия клиентов. Я бы не разделял риски, которые возникают при работе бизнеса в Беларуси и других странах.
В основном для всех компаний в мире актуален риск утечки конфиденциальной информации. Риск потери или недоступности важных данных, пусть и на короткий период. Бывает, что недоступность информации может привести к очень серьезным финансовым последствиям вплоть до банкротства. Нельзя игнорировать риск использования неполной или искаженной информации, неправомочной эксплуатации вычислительных ресурсов (например, вирусы-майнеры или бот-сети). Кроме того, существует угроза распространения информации, которая угрожает репутации организации. Эти данные могут быть получены в результате сетевой атаки.
Еще вчера мы думали, что украсть деньги с банковской карты сложно. А буквально два месяца назад убедились, что злоумышленникам достаточно узнать личный номер держателя счета и имитировать звонок с телефонного номера банка. Простой «фокус» с подменой номера обернулся для многих белорусов существенными денежными потерями.
— Имеет ли смысл компаниям самостоятельно выстраивать защиту данных?
— Давайте посмотрим на белорусский рынок. За два последних года появилось много компаний, которые специализируются на аудите и выстраивании системы информационной безопасности. Значит, их услуги и специалисты востребованы. Есть два пути: набирать экспертов в штат, обучать и наращивать собственную экспертизу либо воспользоваться услугами сторонних компаний. Да, можно воспользоваться и готовыми, так называемыми «коробочными» решениями. Но если мы говорим про серьезную информационную безопасность, то этого явно недостаточно. Создали свою компанию — закладывайте основы цифровой безопасности исходя из финансовых возможностей и ценности информации. Проще всего заказать аудит инфобезопасности. Постарайтесь использовать опыт специалистов, которые работают на рынке и знают о возможных угрозах и способах их отражения. Но самое главное, нужно отказаться от мысли, что информационная безопасность — что-то далекое и вас не касается. Касается каждый день, каждую минуту.
Фото предоставлено собеседником.