С 1 марта в России изменились обязанности операторов персональных данных, а у пользователей появились новые возможности для защиты своих интересов. Данная инициатива выглядит особенно актуально в связи со статистикой об утечках личной информации за 2020 год. Аналитики связывают увеличение подобных инцидентов с пандемией. 

РАПСИ изучило систему защиты данных в «Роснефти», где ни разу не случались подобные сбои, и пришло к выводу о ключевой роли стратегии корпоративной социальной ответственности (КСО) в обеспечении информационной безопасности. 

Согласно исследованию компании «СёрчИнформ» за 2020 год, IT-структура в компаниях стала более уязвимой после перехода на удаленный формат работы (об этом заявили 90% респондентов). По мнению экспертов, повышенный риск нарушений в области информационной безопасности (ИБ) был связан, во-первых, с невозможностью контролировать своих сотрудников удаленно, а во-вторых, с необходимостью сократить IT-бюджет из-за экономического кризиса в мире.

«Мы наблюдаем привычную для масштабных кризисов ситуацию, когда компании сокращают ИТ-бюджеты, в том числе расходы на информационную безопасность. Эту тенденцию мы видим третий год подряд. В 2020 году динамика ускорилась — бюджет на ИБ урезали в два раза больше организаций, чем годом ранее», — рассказал Леонид Чуриков, ведущий аналитик «СёрчИнформ».

Подобная тенденция вызывает беспокойство, поскольку переход на дистанционный формат работы в реальности только увеличил потребности бизнеса в дополнительных средствах защиты. 

Показательно, что одной из главных угроз в области информационной безопасности остается перспектива утечки персональных данных: в 2020 году они составили 33% от всех «сливов»; всего же с этой проблемой столкнулись 20% компаний в РФ (данные «СёрчИнформ»).

Эта цифра может показаться незначительной, если не учитывать особенность оценки ущерба от каждого такого инцидента: за потерей контроля над одной базой данных стоит перспектива обнародования информации о тысячах пользователей, клиентов, сотрудников и т.д. 

В итоге около 100 миллионов записей персональных данных россиян, а также их платежной информации оказались в открытом доступе в 2020 году, следует из исследования компании InfoWatch. Собранные экспертами сведения доказывают, что основной причиной попадания такой информации в сеть стали действия сотрудников компаний. Данный вывод содержится и в исследовании «СёрчИнформ», где 80% опрошенных заявили, что утечка персональных данных как в частном, так и в государственном секторах происходит из-за внутренних нарушений, а не в результате хакерских атак. 

Очевидно, что решение данной проблемы лежит в зоне ответственности как бизнеса, так и законодателя. А изменения, вступившие в силу в начале марте, касаются только расширения возможностей для диалога между операторами персональных данных и пользователями. В то же время первый зампред комитета Совета Федерации по конституционному законодательству и госстроительству Ирина Рукавишникова считает, что в букве закона также необходимо отразить меры по ограничению нарушений, связанных с использованием персональных данных. 

Однако ввиду того, что изменение федерального законодательства — процесс, требующий тщательной подготовки и долгого согласования, гораздо оперативнее на проблему защиты личной информации мог бы отреагировать крупный бизнес. И если открытие новых вакансий в IT-отделах и приобретение дополнительного софта могут оказаться не менее сложными задачами ввиду продолжающегося экономического кризиса, то создание благоприятного корпоративного климата — наиболее доступный метод борьбы с подобными угрозами. 

Недооцененная ответственность 

Серьезное отношение к личной информации и регламентация принципов компании в области работы с персональными данными можно рассматривать как ключевые элементы корпоративной социальной ответственности. Ведь в основе этой стратегии лежит стремление компании к достижению устойчивого развития через заботу не только о сотрудниках, но и о населении. 

Одним из лидеров в области интеграции КСО в свою деятельность является крупнейшая нефтяная компания (НК) «Роснефть», следует из последнего рейтинга Российского союза промышленников и предпринимателей. В свою очередь влияние данной стратегии на минимизацию утечек персональных данных и вообще корпоративного мошенничества доказывает опыт НК, которая отсутствует среди организаций, внутренние данные которых когда-либо подвергались неправомерной публикации.

Очевидно, таким показателям способствует опыт нефтяной компании, столкнувшейся в 2017 году с кибератакой. И несмотря на то, что инцидент не смог повлиять на работу НК в области добычи углеводородов, данная ситуация стала катализатором заметных изменений по совершенствованию системы безопасности внутри компании. 

Среди трансформаций, которые стоит выделить, — формирование новой корпоративной стратегии «Роснефть-2022» с ориентацией на качественное изменение бизнеса посредством использования более прогрессивного менеджмента, а также с приоритетом на импортозамещение программного обеспечения (ПО). 

Оба пункта отвечают выводам экспертов о двух основных угрозах для информационной безопасности: сотрудниках с соответствующем уровнем доступа и ненадежном ПО. 

В этой связи стремление «Роснефти» к интеграции в систему управления новых подходов, отвечающих вызовам современности, можно воспринимать как один из способов минимизировать вероятность утечек. Фундамент же подобной эволюции составляют внутренние документы, где корпоративная культура позиционируется как «неотъемлемый компонент успешной стратегии развития». Среди ключевых инициатив в области корпоративной культуры «Роснефти» — деловая этика, внутренние коммуникации и социологические исследования, корпоративные мероприятия. 

В свою очередь базовые понятия деловой этики задокументированы в виде соответствующего Кодекса, базирующегося на лучших международных практиках. Его главной задачей является формулирование и распространение на коллектив принципов и норм, направленных на разрешение нравственно-этических проблем и спорных ситуаций.

Несмотря на то, что данный документ не является по своей природе правовым актом, его эффективность по предотвращению злоупотреблений должностным положением нельзя недооценивать. А эффективность реализации внутренней нормативной базы НК подкреплена приверженностью компании к достижению 17 Целей устойчивого развития ООН, свыше 90% которых касаются прав человек. Это определяет защиту интересов граждан одним из основных принципов устойчивости и важной составляющей развития НК. 

Кроме того, внимания заслуживает и публичная позиция «Роснефти» в области персональных данных, которая в сравнении с аналогичными документами других представителей крупного бизнеса в РФ содержит ряд принципиальных отличий. Так, используемые НК формулировки максимально уточнены и не содержат двусмысленности, что нехарактерно для общего используемого стандарта. 

Например, среди аргументации в пользу необходимости обработки персональных данных — «предоставление работникам оператора и членам их семей дополнительных гарантий и компенсаций, льгот, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения».

Помимо этого, документ разъясняет цели обработки персональных данных НК, в то время как другие компании предлагают пользователям запрашивать такую информацию в индивидуальном порядке. 

Подобный подход соответствует последним изменениям в законе о персональных данных, которые начали действовать с 1 марта 2020 года. В то же время клиентам, партнерам и сотрудникам «Роснефти» данные инструменты защиты были доступны уже не один год. 

Таким образом, опыт одного из представителей крупного бизнеса, скрупулезно следующего стратегии корпоративной социальной ответственности и ни разу не замеченного в инцидентах с утечками персональных данных, подсказывает, что совершенствование механизмов управления является одним из эффективных инструментов в решении данной проблемы. Тем более в период, когда соблюдение противоэпидемических мер и перераспределение бюджета остаются наиболее приоритетными задачами.