Техническую проблему не всегда можно решить административным методом. Человек, защищающий информацию, должен это понимать. Иначе и хорошо не сделает, и нарвётся на гнев хомячков, которых по факту хотел защитить. Ну, помимо прочихцелей, естественно.
Простейший пример. В стране пытаются принять закон о защите персональных данных. И в процессе принятия внезапно выясняется, что персональные данные пользователей банковских карт, то есть категории, наиболее «любимой» злоумышленниками – на территории страны защитить нереально. Элементарно на основании того, что процессинговые центры находятся на территории совсем другого государства.
Логичное решение законодателя – запретить передачу данных за границу. Допустим на минутку, что владельцы процессинговых центров, то есть Visa и MasterCard искренне возжелают выполнить данный запрет. Пути у них два. Или прекратить обработку данных вообще, тем самым свернув свою деятельность в регионе… но на это они не пойдут, хоть и занимаются тем, что ненавязчиво угрожают, подключив финансово несознательную часть интернет-сообщества. Или создать на территории России отдельный процессинговый центр, деятельность которого ограничивается пределами страны. Допустим, так они и сделают. Будет ли это работать? Для тех, кто страну никогда не покидает – да. Для въехавших в страну иностранцев – уже нет. Сунул он свою карточку в терминал, тот связался с изолированным российским процессинговым центром и выяснил, что данных об этой карточке там нет. Ок, допустим, эту проблему можно решить через «диод». Данные с внешних процессинговых центров в Россию впускаются, назад – не выпускаются. Это создаст возможности для мошенничества, но подперев костылями со всех сторон, можно сделать, чтоб почти работало. Проблема с «вывозом» карточки за границу – не решается в принципе. Ну, разве что через письменное согласие пользователя… которое немедленно окажется в списке обязательных к подписанию при получении карты. И в итоге, как говорит один мой коллега, любитьбудут также, просто писанины добавится.
Максимум, чего можно добиться этим законом – размещения на нашей территории еще одного процессингового центра, дублирующего британский, японский и американские. Но он всё равно будет сливать информацию в прочие, явно или через защищённый канал, неважно. Ну, и ещё товарищ полковник сможет посмотреть все транзакции в одном месте, если ему покажут. Правда, на результаты переговоров насчёт показать – наличие или отсутствие резервного центра на вверенной территории не повлияет никак. Вот если бы там стоял единственный… но такого счастья нет ни у одного правительства.
Какой же из этого следует вывод? Вывод простой. Персональная информация отечественных пользователей банковской сферы по умолчанию является доступной лицам, которые как юридически, так и технически вне зоны действия нашего законодательства. А потому национальную информационную безопасность, включающую безопасность граждан следует строить с учётом этого факта.
Александр Ерощев
специалист по информационной безопасности компании SearchInform
специалист по информационной безопасности компании SearchInform
