Защита персональных данных при использовании новых информационных технологий

Введение
Активное развитие информационных технологий, наряду с современными достижениями в области передовых технологий, компьютеры оказывают значительное влияние на все сферы человеческой деятельности.
Процесс цифровизации общества связан с ростом угроз информации, которые могут напрямую нанести серьезный ущерб организации. Поэтому важно, чтобы предприниматели имели представление о популярных и перспективных технологиях информационной безопасности и развитии рынка в целом, чтобы выбрать решение, которое будет поддерживаться и развиваться конкуренцией компаний на рынке.
Под информационными технологиями понимаются процессы, а также методы поиска, сбора, хранения, обработки, предоставления и распространения информации, включая способы реализации таких процессов и методов [1]
Большинство разработанных программ направлены на решение существующих экономических и социальных проблем, тем самым оказывая существенное влияние на развитие этих сфер человеческой деятельности.Развитие информационных систем для сбора, обработки и хранения персональных данных пользователей позволило, с одной стороны, значительно упростить идентификацию пользователей, получить возможность более точной передачи информации общественности с помощью таргетированной рекламы, для получения информации о потенциальных заемщиках и т. д., но в то же время, с появлением новых информационных технологий, уязвимости также растут, следствием чего может быть утечка информации.
1. Угрозы персональных данныхУтечка информации означает незаконную передачу конфиденциальной информации, в том числе персональных данных и объектов, составляющих коммерческую или государственную тайну, с открытым доступом или конкурентам.
Последствиями убытков для организации могут быть штрафы, потеря корпоративной репутации, переход клиентов к конкурентам и судебные иски.
Более того, протечки в любом случае наносят серьезный ущерб. Таким образом, утечка с сайта Кинопоиска осенью 2015 года привела к публикации планов развития компании, структуры услуг и другой конфиденциальной информации, что повлияло на конкурентные позиции компании на рынке и привело к к многомиллионным убыткам [2].
Другой пример - скандал с утечкой личных данных 50 миллионов пользователей, который привел не только к отказу от клиентов, но и к падению акций компании на 6,26%, что повлияло на капитализацию. рыночная доля компании, упавшая примерно на 23,8 млрд. $ [3].
Согласно исследованию аналитического центра InfoWatch: по итогам 2019 года эксперты насчитали около 213 случаев утечки информации в России, что в сто раз больше, чем в 2018 году, в результате чего было скомпрометировано 128 миллионов записей конфиденциальных данных. данные, в том числе касающиеся банковских карт и счетов.
Количество утечек неуклонно растет, и по количеству Россия занимает второе место в рейтинге несколько лет подряд. Утечки информации можно разделить по векторам атак, их взаимосвязь показана на рисунке 1.
Рисунок 1 – Распределение утечек по векторам атаки в 2019 году
Таким образом, исходя из рисунка 1, мы можем сделать вывод, что в 2019 году, несмотря на распространение внешних атак, внутренние атаки составляют значительную долю.
На основании данных, представленных на Рисунке 2, можно сделать вывод, что около двух третей утечек в России - это так называемые неквалифицированные утечки.
Под неквалифицированными утечками понимаются утечки, не связанные с мошенничеством или злоупотреблениями. Примером может служить халатность сотрудников или пренебрежение конфиденциальной информацией. Потери от утечек в среднем составили $880 тыс [2].
Рисунок 2 - Распределение утечек по типу инцидентов в 2019 г.
2. Защита персональной информацииДля решения проблемы неквалифицированных затрат была разработана система DLP - Data Leak Prevention. Он включает в себя комплекс организационных, консультативных и информационных мер, а также технических мер по защите и расследованию утечек. Эта технология развертывается в три этапа:
Первый выбор объектов защиты, подготовка базы классификации информации для дальнейшего полуавтоматического отслеживания конфиденциальных данных в компании. На этом этапе важно подготовить такую классификацию, чтобы у системы не было сомнений или ложных срабатываний во время работы.
На втором – развертывание софта и раздача ПО.
На третьем этапе расследуются утечки информации. Если в компании соблюдается ряд процедур, эти системы могут использоваться в качестве доказательств в суде (например, в случае уголовного преследования нарушителя за несоблюдение режима коммерческой тайны). [2].
Также существует разделение по типам развернутых систем:
Border DLP - определение секретности документа по имени файла или подписи. Когда документ каким-либо образом пытается покинуть организацию - по сети, через USB-накопитель (флешку), по почте и т. Д., Его подпись определяется и сравнивается с базой защищенных документов. Если подпись обнаружена в базе данных, операция блокируется, и ИТ-безопасность уведомляется. Положительный момент - доступность и простота системы. К недостаткам можно отнести конфликты даже с системами одного типа и при изменении документа меняется подпись, а значит, система не будет работать.
Агент DLP: на каждом компьютере установлена специальная программа, которая отслеживает любые попытки работы с документом. При каждой попытке такого типа рассчитывается подпись документа и сравнивается с базой. Если документ защищен, определяется пользователь, пытающийся над ним работать. В случае прав операция выполняется, в противном случае она блокируется и служба безопасности уведомляется. Плюсы: без прав доступа работать с документом невозможно. Недостатки: снижение производительности компьютера и сети может происходить из-за низких возможностей ПК, задержек между запуском и запуском задачи, а также высокой стоимости установки и необходимости установки на каждом компьютере.
DRM - встраивание механизмов шифрования и дешифрования в стандартные программы редактирования документов. При попытке открыть документ клиентская часть обращается к информации о документе и открывающем его пользователе на сервере ключей, который хранит информацию о правах разных пользователей на доступ к различным документам. При наличии права доступа отправляется ключ, с помощью которого клиент незаметно для пользователя расшифровывает документ и дает возможность выполнить разрешенные операции. Из плюсов - высокая степень безопасности, меньшая нагрузка на компьютер, чем у ADLP. Недостатки в том, что для этой системы требуется программное обеспечение той же версии и от одного производителя.
Шесть лидирующих позиций на рынке по итогам 2019 года занимают российские производители, совокупная доля которых составляет уже более 91%. В тройку лидеров входят Infowatch (30,7%); SolarSecurity (0,17%); Инфосистемы Джет (14,9%). В целом объем рынка составляет 4,73 млрд долларов [4]
Среди российских компаний разворачивается жесткая конкуренция в сегменте крупного бизнеса и госсекторе, что способствует постепенному снижению цены, росту качества и функциональности отечественных DLP-систем.
Значительное влияние на DLP оказывает высокий уровень неопределенности в российской экономике. При сильном ухудшении экономической ситуации, бизнес ограничивает экономические вложения, в совокупности с зависимостью от иностранного оборудования, вспомогательного софта, баз данных и сервисов, это ставит российский рынок DLP в крайне затруднительное положение.
3. Зашита персональных данных в новых информационных технологиях
Еще одна важная технология, которая может решить проблемы безопасности - это блокчейн.
Блокчейн - это постоянно развивающаяся цепочка взаимосвязанных, криптографически защищенных блоков, а также процесс передачи данных в децентрализованной одноранговой сети с использованием шифрования.
Централизованная сеть предполагает наличие посредника. Эти брокеры участвуют в создании и поддержании всей рыночной деятельности, от аутентификации и идентификации лиц до удаления, создания документов и ведения записей [5].
Но с ними связан ряд проблем: они уязвимы для хакерских атак, замедляют экономические процессы, берут комиссию за услуги, собирают личные данные, коммерциализируют их, тем самым нанося вред личному пространству людей.
В децентрализованных или одноранговых сетях роль посредников либо минимизируется, либо исключается вовсе, что является одним из ключевых преимуществ криптовалюты - проекта Сатоши Накамото, где доверие основывалось не на авторитете посредников, а по конфиденциальному протоколу.
В децентрализованных или одноранговых сетях роль посредников либо снижена до минимума, либо, в данном случае, полностью исключена, что является одним из ключевых преимуществ для криптовалюты - проекта Сатоши Накамото, где доверие было позиционируется не по авторизации посредников, а по протоколу доверия. На рисунке 3 показан процесс записи нового блока на примере транзакции с криптовалютой.
Рисунок 3 - Принцип работы технологии «блокчейн»
Процесс создания нового блока в блокчейне разбит на несколько этапов:
Формирование исходных данных для транзакции на компьютере-отправителе;
Транзакции передаются в сеть, где они затем собираются в блок, причем каждый блок имеет номер и хеш-сумму из предыдущего блока. Хеш-сумма - это уникальный идентификатор, в данном случае блок, вычисленный посредством серии математических преобразований. Зафиксировав информацию в созданном блоке, изменить ее становится крайне сложно.
Блоки отправляются всем участникам для проверки;
Затем, при отсутствии ошибок, каждый член сети записывает блок в свой собственный экземпляр базы данных;
В цепочку добавляется блок, содержащий информацию обо всех предыдущих транзакциях;
Прямой денежный перевод.
Таким образом, можно выделить следующие ключевые особенности блокчейн [6]:
Отсутствие финансовых посредников;
Снижение транзакционных издержек;
Открытость внесенной информации;
Крайняя сложность изменения единожды внесенных в систему данных.
К негативным сторонам можно отнести:
Избыточное хранение данных - вся информация дублируется на большом числе носителей;
Необходимость обеспечения высокой пропускной способности;
Отсутствие стандартов и законодательной базы;
Несмотря на недостатки, все это создает широкий спектр использования блокчейна. Например, установление прав собственности. При поддержке государства созданную систему невозможно взломать. Это создает благополучие для миллиардов людей.
В России блокчейн находится на ранних стадиях развития, правовая база и стандарты только начинают формироваться. По данным Единого государственного реестра юридических лиц, на 10 января 2018 года в России было зарегистрировано 50 юридических лиц, которые так или иначе связали свою деятельность с технологией блокчейн. Объем рынка блокчейн в России в 2017 году оценивается в 1 миллиард долларов.
Основными оригинальными направлениями деятельности в России блокчейн-компаний являются обработка данных, использование компьютеров, разработка программного обеспечения, юридическая деятельность, консалтинг в области компьютерных технологий.
Однако есть и компании, деятельность которых также касается непрофильной оптовой торговли и производства. По прогнозам, в 2021 году можно ожидать старта и успешной реализации как минимум 10 дальнейших блокчейн-проектов в государственном секторе [6].
В целом, для технологий перечисленных выше можно выделить следующие общие проблемы:
в Российской Федерации ощущается нехватка кадров, непосредственно связанных с ИТ-технологиями, в том числе в области информационной безопасности, особенно связанных с технологией блокчейн;
существует также серьезная зависимость от зарубежных электронных компонентов - в России практически нет высокопроизводительных персональных и коммерческих решений, а также вспомогательного программного обеспечения;
кроме того, эти технологии зависят от волатильности рынка - в нестабильной экономической ситуации многие компании предпочитают направлять имеющийся капитал на решение более насущных проблем.
В долгосрочной перспективе эти проблемы можно решить следующим образом:
Создание благоприятной налоговой политики для компаний, занимающихся производством электронных компонентов;
Создание базы для обучения и переподготовки кадров на базе российских ИТ-компаний.
Заключение
Таким образом, рынок защиты информации в России находится на начальной стадии развития и, несмотря на медленные темпы и наличие ограничивающих факторов, таких как нехватка персонала, зависимость от иностранных компонентов и программного обеспечения, а также сильные экономические условия, он развивается постепенно.
Российским компаниям удалось вытеснить иностранные и занять доминирующее положение на рынке. Обилие компаний и возможности использования этих технологий создают конкурентную среду, в которой эти технологии поддерживаются и развиваются и постепенно улучшаются с точки зрения защиты информации организаций.
Список используемых источников и литературы
«Об информации, информационных технологиях и о защите информации» [Электронный ресурс]: Федеральный закон № 149-ФЗ от 27 июля 2006 года. Доступ из справ.-правовой системы «КонсультантПлюс» (дата обращения: 03.12.2020).
Технологии предотвращения утечек конфиденциальной информации из информационной системы вовне [Электронный ресурс] // Консультационно- информационый портал Tadviser. URL: http://www.tadviser.ru/ИБ_-Предотвращения_утечек_информации (дата обращения: 03.12.2020).
Утечка данных обошлась Facebook в миллиарды долларов [Электронный ресурс]//Lenta.Ru(Лента.Ру):интернет-издание. URL: https://lenta.ru/news/2018/03/19/facebook_down/ (дата обращения: 03.12.2020).
Рынок DLP- решений (Россия) [Электронный ресурс] // Консультационно- информационный портал Tadviser. URL: http://www.tadviser.ru/index.php (дата обращения: 03.12.2020).
Bitcoin: A Peer-to-Peer Electronic Cash System [Электронный ресурс] // Сайт сообщества системы Bitcoin.URL: https://bitcoin.org (дата обращения: 03.12.2020).Дон Тапскотт. Как блокчейн трансформирует бизнес и денежную систему [Электронный ресурс] // Официальный сайт конференций TED URL: https://www.ted.com/talks/don_tapscott_how_the_blockchain_is_changing_money_and_b usiness (дата обращения: 03.12.2020).