В новой версии пакета антифрод-поправок Минцифры смягчило требования к передаче согласий на обработку персональных данных. Теперь компаниям не нужно отправлять на «Госуслуги» каждое согласие — только те, что будут указаны в подзаконных актах. «Компьютерра» обратилась к Александру Зубрикову, CEO ITG Security, чтобы оценить, насколько такая инициатива безопасна с точки зрения киберзащиты.
Минцифры опубликовало обновленную редакцию второго пакета антифрод-поправок. В ней скорректированы положения закона «О персональных данных» и требования к работе операторов.
Ранее ведомство предлагало создать на «Госуслугах» единую платформу управления согласиями, куда все операторы персональных данных — от корпораций до ИП — должны были передавать полученные разрешения на обработку. Через личный кабинет граждане могли бы просматривать и отзывать их.
Теперь подход изменен: передавать придется не все согласия, а только те, которые прямо перечислены в подзаконных актах.
При этом бизнес сохранил право самостоятельно собирать согласия во всех возможных случаях. В Минцифры заявили, что поправки направлены на снижение административной нагрузки и «устранение избыточных требований».
Однако компромисс между удобством бизнеса и безопасностью гражданских данных может оказаться хрупким. «Очень важно понять, как будет организована передача в единую систему идентификации и аутентификации информации о факте обработки персональных данных. Сейчас проект поправок ссылается на подзаконный акт Правительства РФ», — сообщает Александр Зубриков, CEO ITG Security.
«Любой оператор персональных данных, например, интернет-магазин торгующий кофе, должен будет так или иначе начать взаимодействовать с ЕСИА. Но зная как бизнес стремится сокращать свои издержки на обеспечение информационной безопасности, возникает закономерный вопрос о технической защите сведений при передаче».
Александр Зубриков, CEO ITG Security
По мнению эксперта, основная угроза — утечки либо самих ПДн при подключении к единой системе идентификации и аутентификации, если такие будут передаваться, либо самого факта обработки конкретных сведений, исключая сами ПДн.
В случае компрометации таких данных будет понятно, какими именно операторами (например, те же интернет-магазины) пользуется тот или иной гражданин. Это создает большую перспективу для дальнейшего OSINT того или иного гражданина. Злоумышленнику станет понятно, где именно лежат персональные данные, которые его интересуют, а также любые потребительские привычки граждан.
«Все будет зависеть от того, какие именно требования к защите данных будут установлены Правительством РФ и уполномоченными органами, ответственными за защиту ПДн. Если требования сделают слишком сложными и емкими, это может усложнить работу бизнеса. А если, наоборот, слишком абстрактными и непроработанными, то это может привести к массовым утечкам, если не самих ПДн, то как минимум факта его обработки тем или иным оператором», — добавляет Зубриков.
«Таким образом, целью злоумышленников могут стать сами операторы ПДн, обрабатываемые данные граждан. Например, те же интернет-магазины, которые до этого момента вообще не задумывались о технической защите своих баз данных, содержащих ПДн. А это явление может стать уже массовым. Ждем требования регуляторов».
Александр Зубриков, CEO ITG Security
В Минцифры подчеркнули, что документ не финален и будет дорабатываться с учетом предложений отрасли. Если закон примут в текущем виде, новые требования вступят в силу в 2028 году.