В Казахстане планируется официально устанавливать цену персональных данных, сообщил ряд деловых изданий республики со ссылкой на депутата нижней палаты Парламента РК Екатерину Смышляеву.
Что создает риск
«Такие объемы, которые мы сейчас защищаем, достаточно сложно администрировать небольшому аппарату, — цитирует депутата сайт LS. — Сейчас начали работу над цифровым кодексом, там заложен биржевой механизм монетизации данных, где будет определяться их стоимость. Пока у нас персональные данные цены не имеют, бизнесу угрожает только штраф от регулятора. Как только они начнут обретать какую-либо стоимость, пойдут материальные иски. И вот к ним нам нужно подойти аккуратно».
По словам депутата, Парламент изучает соответствующие поправки законодательства одновременно с проектом закона об искусственном интеллекте. В нем пересматривается само понятие «персональные данные». «Мы делим его на идентификаторы и собственную информацию о человеке, чтобы бизнесу было проще хранить их раздельно, — уточнила Екатерина Смышляева. — Тогда вопросов к их защите будет меньше».
Депутат отмечает, что сохранение действующего законодательного определения персональных данных может создавать риск. «Потому что их клиентура начнет просто судиться, и это негативный прецедент, — объясняет Смышляева. — Это плохо в целом для отраслей бизнеса, которые так или иначе соприкасаются с данными. Поэтому мы сейчас готовим почву, чтобы можно было защищать данные и хранить их обособленно от идентификаторов. В целом законодатель и регулятор понимают, что чрезмерное регулирование этих вопросов будет нести необъективную нагрузку на бизнес. И мы никуда не денемся, ведь персональные данные и цифровой след людей у нас растут многократно».
По словам депутата, расследования в цифровой среде осложнены отсутствием четких процедур. «Поэтому у нас есть определенные виды на регулирование в системе уголовного права, чтобы ввести понятие так называемого цифрового доказательства для более полного расследования преступлений, связанных с глобальными утечками, — продолжает Екатерина Смышляева. — А также есть предложения по классификации операторов персональных данных. То есть, если ты собираешь данные на 100 субъектов или на один миллион, я полагаю, что требования должны быть совершенно разные, потому что мы понимаем — опасности и интерес злоумышленников к таким массивам разнятся. Поэтому сейчас эти градации мы будем делать, и бизнес активно участвует в обсуждении».
Кроме того, Смышляева считает необходимым расширение превентивных мер против утечки персональных сведений. «То есть компонент информационной безопасности должен содержаться во всех бизнес-моделях, которые вы строите, — подчеркнула депутат. — А во всех планах должно быть заложено определенное количество средств на это. Это реальность, в которой мы уже живем, а в будущем (эта реальность. — Прим. автора) будет еще наращиваться».
Понятно только юристам
Обнародованная Екатериной Смышляевой информация позволяет сделать несколько выводов. Во-первых, судя по всему, у законодателей не нашли поддержки предложения отечественных экспертов последовать примеру ряда европейских стран, США, России и наказывать виновников в утечке персональных данных оборотными штрафами. Они достигают 10 процентов денежного оборота виновников утечки за год или другие периоды, в течение которых зафиксирована утечка. Это касается коммерческих компаний по решению суда. Им же предоставлено право определять и взыскивать ущерб по искам за утечку персоналки из государственных ведомств, но на них оборотные штрафы, естественно, не распространяются.
Во-вторых, важным представляется сообщение депутата о разделении персональных данных на идентификаторы и собственную информацию о человеке. В отечественном законе о защите персональных данных они делятся на общедоступные и ограниченного доступа, а также на биометрические и собственно персональные. Хотя понятно, что биометрика — тоже персональная информация. И это лишь один пример сложности действующего закона о защите персональных данных.
Вероятно, он вполне понятен юристам, но никак не массе граждан, права которых на защиту персоналки нарушаются из года в год. Из объяснений Смышляевой, однако, пока неясно, что предполагается считать идентификаторами, а что «собственной информацией о человеке». Ведь очевидно, что идентификаторы — тоже собственная информация человека. Это к тому, что над терминологией пересмотра понятия персоналки депутатам надо еще потрудиться.
В-третьих, справедлив намек депутата на несоразмерность ответственности виновников за утечку данных. О ней минимум дважды публично и вполне определенно высказывался в 2023-2024 годах глава Комитета информационной безопасности Министерства цифрового развития и аэрокосмической промышленности (МЦРИАП) Руслан Абдикаликов. Действовавший в указанный период штраф на юридических лиц за утечку персональных сведений составлял 120 тысяч тенге, а возможная прибыль от торговли персоналкой за счет одного Telegram-бота, по словам Абдикаликова, приносила лишь за день два-три миллиона тенге. «Обычно цена базы зависит от количества записей, — уточнял глава комитета МЦРИАП. — Как правило, от пары сотен до нескольких тысяч долларов. Но это только стоимость перепродажи».
Лишь верхушка айсберга
Приведенная другая информация Абдикаликова вынуждает уточнять высказывание Екатерины Смышляевой о том, что «пока у нас персональные данные цену не имеют». Очевидно, она имеет в виду, что нет официальных цен персоналки в отличие, например, от стоимости акций компаний, котирующихся на Казахстанской фондовой бирже (KASE).
Неслучайно Смышляева упомянула, что в проект цифрового кодекса «заложен биржевой механизм монетизации данных, где будет определяться их стоимость». Сравнивать монетизацию акций и персональных сведений, конечно, некорректно. Однако в XXI веке появились и официальные биржи, торгующие персональными сведениями граждан и компаний.
Например, в 2021 году в Китае заработала первая в мире государственная биржа обезличенных данных. Появились и частные платформы, где граждане и фирмы могут оставить сведения о себе для бизнеса.
Взамен такие площадки выплачивают вознаграждения в зависимости от объема и актуальности информации.
Один из подобных примеров — российская платформа IDX (Identity Exchange). Она обеспечивает обмен подтверждениями о достоверности частных сведений. Понадобится ли нечто подобное для формирования рыночной стоимости персоналки в Казахстане — вопрос открытый. Но легальные торговля и обмен персональными сведениями, обставленные многими ограничениями, — лишь верхушка айсберга.
Влияние даркнета
На подводную часть айсберга указывает опубликованный в сентябре прошлого года аналитический отчет «Актуальные киберугрозы в странах СНГ 2023-2024» компании Positive Technologies, уделившей значительное внимание Казахстану. Как отмечается в отчете, большинство кибератак на РК (65 процентов) происходило с использованием вредоносного программного обеспечения.
В каждой второй атаке (53 процента) на республику применялась социальная инженерия (манипулирование сознанием). По доле кибератак в СНГ Казахстан (28 процентов) занимал третье место после России и Беларуси. Больше трети атак (35 процентов) на Казахстан заканчивалось утечкой конфиденциальной информации. Наибольшим вожделением пользовались персональные и учетные данные граждан и предприятий.
Positive Technologies обращала особое внимание на то, что в Казахстане к утечке конфиденциальной информации приводила каждая четвертая атака на отечественный телеком, где хранятся и обрабатываются большие объемы персональных данных. Автор отчета указывал, что злоумышленники могут контролировать захваченную инфраструктуру провайдера в течение месяцев и даже лет, регулярно похищая из нее ценные сведения.
Например, в феврале 2024 года после публикации на платформе Git Hub конфиденциальных данных китайской компании iSoon обнаружилось, что злоумышленники имели полный доступ к инфраструктуре казахстанских операторов связи в течение более двух лет. В руках злоумышленников оказались огромные массивы различной информации, включая персональные и учетные данные казахстанских абонентов, отмечает Positive Technologies.
Справка «НП»
Даркнет, известный также как «скрытая сеть», «темный интернет», «темная сеть», «теневая сеть», «темный веб» — анонимная скрытая сеть, зайти в которую возможно лишь с использованием нестандартных протоколов. В большинстве случаев даркнет используется в неблаговидных и преступных целях.
Positive Technologies сообщала, что в даркнете и на других теневых площадках злоумышленники торговали и обменивались украденными, в том числе персональными, данными, фальшивыми документами, доступом в локальную сеть, инструментами и услугами для атак. Positive Technologies также проанализировала более 400 объявлений в даркнете и тelegram-каналах с упоминанием стран СНГ. В первом полугодии 2024 года таких объявлений было опубликовано на 35 процентов больше, чем за аналогичный период 2023-го. Стоимость украденных баз данных жителей и предприятий стран СНГ колебалась от 100 до 50 000 долларов США, уточнял автор отчета.
Под другими именами (Arpanet, Usenet) даркнет зарождался с благими намерениями защиты конфиденциальной информации в конце 1970-х и получил свое современное название в 1995 году, но уже как пиратская система. В ее истории круто переплетены замыслы свободы, анонимности и преступности. Из-за последней с даркнетом борется вся мировая правоохранительная система, но без особого успеха.
Интернет давно сравнивают с прозрачным полом, на котором каждый пользователь неизбежно оставляет следы, а даркнет — с «бессмертной мафией» и коррупцией, присутствующей в любой стране. Их изучение в цифровой среде для повышения ее безопасности должно стать приоритетом не только Парламента, но всей власти и IT-индустрии республики.