АНАЛИЗ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫЙ В РОССИЙСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЕ С ИСПОЛЬЗОВАНИЕМ ИНОСТРАННОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ БЕЗ АКТУАЛЬНЫХ ОБНОВЛЕНИЙ БЕЗОПАСНОСТИ

PERSONAL DATA SECURITY ANALYSIS IN THE RUSSIAN INFORMATION INFRASTRUCTURE USING FOREIGN SOFTWARE WITHOUT CURRENT SECURITY UPDATES

Ksenia Medvedeva

student, Department of Computer Engineering and Information Security, Ufa State Aviation Technical University,

Russia, Ufa

Tatyana Ivanova

associate professor, Department of Computer Engineering and Information Security, Ufa State Aviation Technical University,

Russia, Ufa

АННОТАЦИЯ

Статья посвящена анализу проблемы и защиты персональных данных в условиях повышенной опасности реализации угроз безопасности в случае использования иностранного программного обеспечения с отсутствующими обновлениями безопасности. А также способам защиты от найденных угроз и уязвимостей.

ABSTRACT

The article is devoted to the analysis of the problem and protection of personal data in conditions of increased danger of the implementation of security threats in the case of using foreign software with missing security updates. As well as ways to protect against threats and vulnerabilities found.

Ключевые слова: защита персональных данных; иностранные средства защиты информации; российский рынок программного обеспечения; актуальные угрозы обеспечения безопасности в российском сегменте интернета; уязвимости персональных данных.

Keywords: personal data protection; foreign means of information protection; the Russian software market; current threats to security in the Russian segment of the Internet; vulnerabilities of personal data.

В современном мире, в век цифровизации, информация является наиболее ценным ресурсом, и с каждым днем возрастают ее количественные и качественные показатели.  Информация в широком смысле – это комплексная совокупность сведений об окружающем мире и протекающих в нем процессах, воспринимаемые человеком, вычислительными машинами и другими информационными системами [1, ст. 2]. Так наиболее ценной информацией являются персональные данные [1, ст. 14.1.], согласно российского законодательства, а именно: ФЗ № 149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006, ФЗ №152 «О персональных данных» от 27.07.2006; под персональными данными следует понимать – информацию ограниченного доступа, раскрывающую личностные данные, относящиеся прямо или косвенно к определенному или определяемому физическому лицу, которая может быть передана другим лицам [2, ст. 3]. По данным статьи [3, с. 3] ежегодно возрастают угрозы конфиденциальности, доступности и целостности персональных данных. Утечки (угроза конфиденциальности) персональных данных происходят довольно часто как в частных, так и государственных компаниях с различными системами защиты информации. В РФ в результате перехода на удаленную работу ввиду ковидных ограничений было замечено лавинообразное увеличение утечки персональных данных на 17% [4, с. 3] из-за действий хакеров, недобросовестных и некомпетентных сотрудников.

С 25 февраля 2022 в связи со сложившееся обстановкой появились новые угрозы защищенности персональных данных, так, по мнению отечественных специалистов по информационной безопасности [3, с. 3], России объявили настоящую кибервойну, официально об этом заявили хакерская группировка Anonymous и кибервымогатели Conti, так же по данным Роскомнадзора [7, с. 1] со стороны стран запада и дружественных стран США звучат призывы к атакам на информационные ресурсы РФ и кражу персональных данных. В то же время усугубляет защищенность информационной инфраструктуры РФ, а в частности и персональных данных, уход с российского рынка иностранных поставщиков продуктов и услуг в области информационной безопасности. Так с нашего рынка ушли и прекратили поддержку такие бренды как: Cisco, IBM, Microsoft, Norton, Avast, Imperva, Fortinet, Oracle, SAP, Adobe, VMware, Dell, Intel, AMD, Simens, HP, TSMC, ASUS, Qualcomm, Xerox, LG, Acer [6, с. 4]. При этом доля иностранного программного обеспечения в сегменте защиты информации составляет около 40–60% [5, с. 7].

На сегодняшний день Минцифры уже предложило план [5, с. 8] по поэтапной передаче российским ИТ-компаниям техподдержку важных информационных систем и инфраструктуры. Эксперты дают оптимистические прогнозы и отмечают, что российские производители в целом готовы занять место ушедших зарубежных компаний, что стимулирует государство дополнительными льготам для ИТ-компаний [3, с. 25]. Большинство организаций ускорили ранее начавшийся переход на отечественное программное обеспечение. Следует отметить, что российский рынок по защите информации активно работает над импортозамещением уже несколько лет. На российском рынке представлено несколько десятков производителей по информационной безопасности в их числе есть качественные аналоги зарубежных решений, к ним можно отнести продукты компаний «InfoWatch», «Positive Technologies», «Лаборатория Касперского», «Ростелеком-Солар». В результате ухода крупных иностранных компаний российские производители оказались в выгодном положении и под протекцией государства, так с 31 марта 2022 запрещены государственные закупки иностранного ПО для критической инфраструктуры без согласования с федеральным органом исполнительной власти, а с 1 января 2025 запрещено государственным заказчикам использовать зарубежное ПО для критической инфраструктуры.

Защита персональных данный является частным случаем в обеспечении информационной защиты российской информационной инфраструктуры, и ей присущи все вышеперечисленные особенности. Одной из ключевых угроз защищенности персональных данный можно считать отсутствие обновлений безопасности иностранного программного обеспечения, чем могут воспользоваться злоумышленники для кражи, модификации, уничтожения, разглашения персональных данных. Однако отечественными экспертами в области информационной безопасности [4, с. 6] разработан комплекс компенсирующих мер по устранению уязвимостей нулевого дня (к примеру, на официальном сайте ФСТЭК России имеется «Банк данных угроз безопасности информации» где хранится актуальный список уязвимостей, используя который возможно, применяя дополнительные средства защиты информации нивелировать найденную уязвимость).

Для повышения или поддержания на заданном уровне защищенности персональных данных в качестве дополнительных мер возможно:

– повысить уровень защищенности ИСПДН на один уровень;

– отключить централизованное автоматическое обновление прикладного и системного программного обеспечения, сетевого оборудования, или осуществлять их установку после предварительного тестирования и анализа на предмет наличия не декларированных возможностей или необоснованного повышения уровня привилегий;

– отказаться от средств защиты информации иностранного производства;

– мобилизовать отдел защиты информации, увеличить штат специалистами в данной отрасли;

– проводить регулярные обучения и тренинги с пользователями автоматизированных систем по вопросам противодействия кибератакам, так как согласно мировой практики неподготовленный пользователь является наиболее слабым звеном в защите информации и к нему применимы методы социальной инженерии для получения доступа к автоматизированной системе или конфиденциальной информации;

– осуществлять контроль за привилегированными пользователями с правами администратора или суперпользователя для исключения саботажа и инсайда.

Таким образом на сегодняшний день существуют и актуальны угрозы защищенности персональных данных в российской информационной инфраструктуре с использованием иностранного ПО без актуальных обновлений безопасности. Однако возможно реализовать комплекс компенсирующих мер по устранению указанных угроз и уязвимостей, и защищённость персональных данных каждого отдельно взятого объекта информатизации напрямую зависит от компетенции сотрудников отдела защиты информации организации, дисциплинированности пользователей автоматизированных систем по выполнению требований по поддержанию заданного уровня защищенности.

Список литературы:

1. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // СЗ РФ. 2006. N 31 (часть 1). Ст. 344.
2. Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» // СЗ РФ. -2006. - №31(ч.1). – Ст.3451.
3. Головко Н. И. Lex russica / Прогноз развития киберугроз и средств защиты информации 2021г. №78. – Ст. 56
4. Солдатова В. И. Защита персональных данных в условиях применения цифровых технологий. Русский закон 2020;1(2):33-43
5. Официальные периодические издания: «Известия iz» Олеся Тернопольская // Вышли из строя: к чему приведет уход зарубежных вендоров из сферы кибербезопасности / Смогут ли российские компании заменить иностранных игроков [электронный ресурс] — Режим доступа. — URL: https://newizv-ru.turbopages.org/newizv.ru/s/news/business/12-03-2022/it-industriya-rossii-chto-ostanetsya-posle-begstva-svoih-programmistov-i-zapadnyh-firm (Дата обращения: 27.04.2022)
6. Официальные периодические издания: парламентская газета Филоненко Валерий / Какие зарубежные компании покидают Россию [электронный ресурс] — Режим доступа. — URL: https://www.pnp.ru/top/kakie-zarubezhnye-kompanii-pokidayut-rossiyu.html (Дата обращения: 27.04.2022)
7. Специальный проект Ведомости // Роскомнадзор заявил о гибридной войне против России, включающей в себя кибератаки [электронный ресурс] — Режим доступа. — URL: https://www.vedomosti.ru/technology/articles/2022/02/28/911313-privlech-hakerov-slozhno   (Дата обращения: 27.04.2022)