Количество утекших персональных данных в России по итогам 2022 года составило 667,6 млн — это в 4,5 раза больше всего населения страны. О том, как предотвратить утечки данных в 2023 году, зачем необходимо подписывать хартию о неповышении цен на российское ПО, рассказала генеральный директор InfoWatch, председатель правления АРПП "Отечественный софт" Наталья Касперская.
— Как изменилось количество и типы утечек данных за первые месяцы текущего года в сравнении с аналогичным периодом прошлого?
— В 2022 году произошел резкий рост утечек данных. Причем не только в России, но и в мире тоже. В России в три с лишним раза рост числа утечек и резкий рост объема утекших баз данных. Также изменилась мотивация утечек. Если раньше утечки, воровство персональных данных совершались с целью их перепродажи и дальнейшей коммерциализации, то в последний год это в основном политическая мотивация. С целью вычленения лиц, имеющих отношение к СВО, военнослужащих и сотрудников спецслужб. И воздействие на них точечно, разными способами, начиная от мошенничества и заканчивая угрозами.
То есть утечка данных в современном мире несет, вообще-то, угрозу жизни. Это совершенно другой риск. И, я считаю, для нас как для страны это вызов. Не случайно Госдума сейчас занимается резким ужесточением законов. Я думаю, что закон будет ужесточен и с точки зрения штрафов, накладываемых на корпорации, допустившие утечки, и с точки зрения личной ответственности лиц, допущенных к данным, которые непосредственно могли быть вовлечены в инцидент. Я считаю, что ответственность должна быть, конечно, в рамках уголовного права. Потому что в противном случае это будет не очень больно. Штрафы в нашей жизни людей не пугают и административная ответственность тоже. Это первое.
А второе — чисто практические соображения, что если вести расследования утечек только в рамках оперативного законодательства, то невозможно провести оперативно-разыскные мероприятия, которые необходимы для глубинного расследования утечек. Эти мероприятия можно провести только в рамках уголовного дела. Поэтому надо начинать уголовные дела и уже там разбираться, что произошло, как произошло.
При этом сама утечка — это полбеды. Но при произошедшей утечке дальше мы видим, что эти данные начинают использоваться и переиспользоваться. И в том числе коммерческие компании, которые занимаются анализом на основе больших данных, с удовольствием эти данные берут и потом используют их у себя. Это совершенно недопустимо. То есть это вторичное воровство, вторичное распространение этих данных.
Речь надо вести о незаконном обороте персональных данных и наказании за незаконный оборот в том числе
— InfoWatch подписала хартию о неповышении цен разработчиками российского ПО более чем на 15%. Почему компания решила поддержать данную хартию?
— Мы цены не повышали совсем. Потом, когда к нам пришли из Минцифры РФ и сказали, что какие-то компании повышают цены, мы со своей ассоциацией — АРПП "Отечественный софт" — попытались найти эти компании. Никто не сознался среди членов ассоциации, что они резко повысили цены. Наверное, были какие-то другие компании, которые это сделали. И Минцифры предложило создать такую хартию. Поскольку мы, вообще-то, не собирались повышать цены, почему бы нам эту инициативу не поддержать. Я считаю, что это наш маленький вклад в облегчение жизни заказчиков.
Такое радикальное изменение рынка не надо использовать на то, чтобы совсем уж "плющить" заказчиков. Им и так нелегко. Хотя мы, конечно, понимаем, что надо было заниматься импортозамещением нормально с 2015 года, когда у нас была объявлена программа по импортозамещению, а не сейчас — в режиме ошпаренной кошки. Но как получилось, так получилось. У нас же, пока гром не грянет, никто ничего делать не начинает. Гром грянул, все побежали. Сейчас это реально сложно.
— Сообщалось, что отечественные разработчики готовы предоставить странам Африки программные продукты в исходных кодах. Начала ли InfoWatch подобное предоставление? Каким странам?
— Я считаю, что с точки зрения экспорта нам нужно проводить более системную политику. Вы видите, что сейчас идет поляризация мира, есть явно англосаксонский мир и весь остальной. С точки зрения всего остального Россия, очевидно, может играть довольно значимую роль в разработке именно софта. У нас вообще около 17 тыс. продуктов в реестре отечественного ПО, они группируются по определенным классам, и мы можем предоставлять решения странам довольно системно. Да, для того чтобы их предоставлять, нам нужно как стране иметь какие-то ключевые отстройки от предложений транснациональных корпораций. В чем могут быть эти отстройки? В качестве продукта? Точно нет. В количестве функций? Тоже нет. В количестве денег, которые мы можем потратить на рекламу? Тут, извините, денег на порядки меньше.
Получается, что мы можем тем не менее предоставить некое конкурентное предложение. Потому что софт, который дают наши западные партнеры, сделан по принципу as is software, которое поставляется как есть, и оно не должно декомпилироваться, модифицироваться, в него не должны вноситься изменения. Исходный код принадлежит полностью правообладателю, пользователь никакого права на него не имеет. Мне кажется, что было бы разумно, если бы мы, наоборот, исповедовали принцип возможности внесения изменений, возможности модификаций, развития этого кода, добавления к нему чего-то. В том числе продуктов третьих сторон. В том числе их тех стран, которые были бы в этом заинтересованы. То есть нужна более открытая платформа.
Вторым важным элементом должно стать описание архитектуры решений — как вообще эти решения устроены. Потому что англосаксонская модель предполагает модель "черного ящика". И третий важный компонент — это обучение. Не просто обучение пользователей, а инженерное образование. Причем у нас инженерное образование хорошее, и его нужно вкладывать в наш софт как образовательный элемент, который является частью поставляемого софта.
— В ноябре 2022 года в рамках одного форума вы говорили, что США не ведут с Россией войну в киберпространстве, а атаки совершают в основном украинские хакеры. Сегодня можно ли говорить о развертывании этой войны после вступления в нее киберцентра НАТО?
— Развивается ли кибервойна? Мы видим, что это разрозненные атаки. И мы, и коллеги по рынку много общаемся с нашими индустриальными коллегами, которые этими системами занимаются. Они организованы, но не демонстрируют всех возможностей.
Что касается включения киберцентра НАТО, это скорее пиар-акция. В киберстратегии США черным по белому написано, что Россия — враг, что будут делать центр обороны и центр нападения. Ну, давайте еще сюда НАТО впишем. Но по большому счету такое действие ничего не меняет
Нам, со своей стороны, нужно, конечно, опережающими темпами заниматься импортозамещением, в том числе в области инфраструктуры. И усилением информационной безопасности по всем направлениям.
— Премьер-министр Михаил Мишустин в рамках ЦИПР сообщал, что кабмин рассмотрит механизм введения обязательных отчислений для компаний за использование иностранного ПО. По вашему мнению, какие меры нужно предусмотреть, чтобы эти отчисления не затормозили развитие российского программного обеспечения?
— Насколько я поняла, это временная мера, на два года. При этом по-прежнему непонятно, как будет осуществляться поддержка российского ПО и будет ли она осуществляться. То есть это чистые отчисления в фонд, который должен ориентироваться на поддержку отечественных производителей и отечественных разработок.
— В развитие темы, нет ли риска того, что сейчас два года они будут пользоваться иностранным софтом, а потом придут и скажут: а давайте продолжим, нам нужно пролонгировать? Не станет ли это плохой тенденцией?
— У нас, к сожалению, все было так, до 2022 года у нас весь процесс импортозамещения шел по принципу "шаг вперед, два назад". В сторону отскочили, потоптались, потом опять пытаемся сделать шаг вперед. Например, в области промышленного ПО практически ничего не было сделано. Почему у нас в таком тяжелом положении оказались многие предприятия к началу прошлого года? Потому что они ничего не делали, потому что они ждали у моря погоды. Причем в том числе субъекты критической информационной инфраструктуры не внедряли у себя то, что было необходимо, и то, что им приписывает закон 187-ФЗ.
И особенно в этом смысле показательны компании, которые принимали решение об использовании облачных технологий в условиях санкций. Облака просто выключили. Я знаю примеры, когда компании потратили десятки, а то и сотни миллионов рублей на создание систем в облаках, и у них эти облака выключили, и все данные, которые они туда сгружали, вся работа, которую они там делали, в одночасье просто превратилась в "тыкву".
Поэтому, ну вот честно, мы скрипя зубами соглашаемся на эту инициативу. Она опасная. Она не очень хорошая, потому что это все равно какие-то компромиссы.
Мы все время как будто ищем, как будто ждем, что все вернется на круги своя, обратно придут сюда Microsoft, обратно все начнется. Но это неправильный подход
Пока еще действительно есть категории, где отечественный софт где-то недотягивает. Но он и не мог дотягивать. В него не вкладывали столько средств, сколько вкладывали зарубежные корпорации, заказчики не обращали на него такого пристального внимания. Теперь ситуация изменится.