В четверг довелось мне в рамках RIW модерировать секцию " Выбор пользователя: полная анонимность или полное доверие - поиск "золотой середины " в рамках мини-конференции "Большие данные и приватность в интернете", которая изначально планировалась как площадка для дискуссии по теме Big Data. В процессе подготовки к мероприятию я столкнулся с интересной дилеммой - в мире Big Data - это в первую очередь технологии, а в России - законодательство. Отсюда и некоторая рассинхронизация в дискуссии, которая предсказуемо скатилась в обсуждение персональных/пользовательских данных. Одним из рассматриваемых кейсов я взял известную летнюю историю про индексацию Яндексом документов Google. У участников дискуссии я спросил: "Кто несет ответственность за то, что произошло?" и вот тут меня поджидал некоторый сюрприз.
Представители Яндекса и Group-IB высказали мысль, что спасение утопающих - дело рук самих утопающих, то есть виноват сам пользователь. Отчасти я, конечно, согласен с тем, что пользователи должны чуть более внимательно относиться к настройкам приватности того, что они выкладывают в Интернет. И касается это не только документов, но и профилей соцсетей, фотографий, переписок в мессенджерах и т.п. И вот тут в дискуссию вступил Георгий Грицай из АНО "Цифровая экономика", который высказал, показавшуюся мне сначала крамольной, мысль, что безопасность - это не право, а привилегия и ее надо заслужить или оплатить. Иными словами, Интернет-компании не обязаны тратить все свои силы на безопасность пользовательских данных, а пользователь будет сидеть и ничего не делать, ожидая, что провайдер Интернет-услуг все сделает за него. Конечно ничего не делать тоже можно, но тогда надо переложить всю ответственность на кого-то.
И вот тут мы подходим к интересной ситуации. Как-то для одной из презентаций я рисовал вот такую картинку, которая показывает градацию видов ИБ по масштабу ее действия - личная, корпоративная, национальная и международная.
Если немного отвлечься от нашей профессиональной деятельности и поставить себя на место рядового пользователя, то кто отвечает за нашу безопасность на улицах города? А в гражданской авиации? А от террористов? Государство! Мы справедливо полагаем, что национальная безопасность - это наше право и обязанность государства. Это вытекает из публичных правоотношений между нами и страной, гражданами которой мы являемся. Тут вроде все нормально и вопросов эта концепция не вызывает. А вот дальше наступает коллизия. Мы публичное право пытаемся натянуть на частные отношения пользователя и Интернет-компании. Мы по-прежнему считаем, что Интернет-компания должна нас защищать - от вредоносов, от утечки, от DDoS. И в этом кроется основная проблема. В случае права частного - безопасность перестает быть нашим правом, а является предметом договоренностей между сторонами договора (даже если это коллективный договор или договор-офферта).
Вспомните договора, заключаемые между юрлицами. Только за то, что в них написано, компании и отвечают. Есть там раздел по конфиденциальности? Выполняем требования по защите. Нет? Не выполняем. Произошла утечка данных - отвечаем только в случае нашей обязанности защищить данные, которые прописана в договоре. Все логично. Но эта же логика применима и к договорам между физлицом и юрлицом, но пользователь это не всегда понимает и транслирует обязанности государства на частные компании. Отчасти изменению этой логики мешает законодательство по персональным данным, которые превращает защиту ПДн в право гражданина (и обязанность оператора ПДн), а он начинает его распространять на все данные, а не только те, которые определены в ФЗ-152.
В итоге недовольство пользователей, которые считают, что им все должны и должны бесплатно, и недовольство компаний, которые не понимают, почему должны именно они и должны задаром. Ситуацию исправить могло бы принятие основ госполитики в области формировании культуры ИБ, которые готовились несколько лет назад, но увы. Пользователь по-прежнему будет считать, что защита его данных в Интернете - это не его обязанность, а Интернет-компаний.
Да, не стоит думать, что я считаю, что Интернет-компании ни в чем не виноваты и не должны предпринимать усилий по ИБ. Должны, но либо в рамках повышения своей репутации, либо договорных обязательств. А пользователям стоит чуть больше задумываться о собственной гигиене в Интернет.
ЗЫ. Презентация-подстрочник, как иллюстративный ряд к дискуссии на секции.
Представители Яндекса и Group-IB высказали мысль, что спасение утопающих - дело рук самих утопающих, то есть виноват сам пользователь. Отчасти я, конечно, согласен с тем, что пользователи должны чуть более внимательно относиться к настройкам приватности того, что они выкладывают в Интернет. И касается это не только документов, но и профилей соцсетей, фотографий, переписок в мессенджерах и т.п. И вот тут в дискуссию вступил Георгий Грицай из АНО "Цифровая экономика", который высказал, показавшуюся мне сначала крамольной, мысль, что безопасность - это не право, а привилегия и ее надо заслужить или оплатить. Иными словами, Интернет-компании не обязаны тратить все свои силы на безопасность пользовательских данных, а пользователь будет сидеть и ничего не делать, ожидая, что провайдер Интернет-услуг все сделает за него. Конечно ничего не делать тоже можно, но тогда надо переложить всю ответственность на кого-то.
И вот тут мы подходим к интересной ситуации. Как-то для одной из презентаций я рисовал вот такую картинку, которая показывает градацию видов ИБ по масштабу ее действия - личная, корпоративная, национальная и международная.
Если немного отвлечься от нашей профессиональной деятельности и поставить себя на место рядового пользователя, то кто отвечает за нашу безопасность на улицах города? А в гражданской авиации? А от террористов? Государство! Мы справедливо полагаем, что национальная безопасность - это наше право и обязанность государства. Это вытекает из публичных правоотношений между нами и страной, гражданами которой мы являемся. Тут вроде все нормально и вопросов эта концепция не вызывает. А вот дальше наступает коллизия. Мы публичное право пытаемся натянуть на частные отношения пользователя и Интернет-компании. Мы по-прежнему считаем, что Интернет-компания должна нас защищать - от вредоносов, от утечки, от DDoS. И в этом кроется основная проблема. В случае права частного - безопасность перестает быть нашим правом, а является предметом договоренностей между сторонами договора (даже если это коллективный договор или договор-офферта).
Вспомните договора, заключаемые между юрлицами. Только за то, что в них написано, компании и отвечают. Есть там раздел по конфиденциальности? Выполняем требования по защите. Нет? Не выполняем. Произошла утечка данных - отвечаем только в случае нашей обязанности защищить данные, которые прописана в договоре. Все логично. Но эта же логика применима и к договорам между физлицом и юрлицом, но пользователь это не всегда понимает и транслирует обязанности государства на частные компании. Отчасти изменению этой логики мешает законодательство по персональным данным, которые превращает защиту ПДн в право гражданина (и обязанность оператора ПДн), а он начинает его распространять на все данные, а не только те, которые определены в ФЗ-152.
В итоге недовольство пользователей, которые считают, что им все должны и должны бесплатно, и недовольство компаний, которые не понимают, почему должны именно они и должны задаром. Ситуацию исправить могло бы принятие основ госполитики в области формировании культуры ИБ, которые готовились несколько лет назад, но увы. Пользователь по-прежнему будет считать, что защита его данных в Интернете - это не его обязанность, а Интернет-компаний.
Да, не стоит думать, что я считаю, что Интернет-компании ни в чем не виноваты и не должны предпринимать усилий по ИБ. Должны, но либо в рамках повышения своей репутации, либо договорных обязательств. А пользователям стоит чуть больше задумываться о собственной гигиене в Интернет.
ЗЫ. Презентация-подстрочник, как иллюстративный ряд к дискуссии на секции.