Закон принимать нужно, но и нужно понимать, что в свете этого закона, возможно, придется поступить так же, как Россия, заблокировавшая Facebook из-за невыполнения требований РФ. Понимаете, принять закон – не проблема. Проблемы начинаются дальше, когда приступаешь к его реализации. Это касается многих организаций, хранящих личные данные: авиакомпаний, медицинских компаний, и так далее. На данный момент у нас фактически особо никто не задумывается, где хранятся данные граждан.
Об этом Minval.az рассказал директор компании Advanced Technologies Solutions, работающей в сфере ИТ-безопасности, Александр Тварадзе, комментируя новость о грядущем усовершенствовании закона о защите персональных данных в Азербайджане.
Напомним, что согласно стратегии, Кабинет министров совместно с Министерством цифрового развития и транспорта, Службой государственной безопасности, Государственной службой специальной связи и информационной безопасности, МВД и Минюстом должен регулярно обеспечивать совершенствование нормативной правовой базы в области обработки и защиты персональных данных на основе международного опыта.
– Александр, о каком международном опыте идет речь? Вы можете рассказать поподробнее? И как вы оцениваете попытку на законодательном уровне более тщательно защитить наши персональные данные?
– Усиление закона оцениваю положительно, но есть много вопросов. Понимаете, закон не так сложно разработать, особенно с учетом того, что все законы, разработанные в странах СНГ, по сути, похожи друг на друга. Предположим, мы приняли закон и сказали, что все персональные данные должны храниться на территории нашей страны. Для того, чтобы так и было на самом деле, нужно привлекать крупных владельцев персональных данных, находящихся за пределами Азербайджана, и вести с ними диалог, объяснять, что мы собираемся делать, заранее определить пути сотрудничества с этими компаниями, чтобы они не нарушали наше законодательство, так как в случае выявления нарушений мы можем запретить их деятельность на территории Азербайджана.
Момент второй: в странах Европы есть GDPR – закон о защите персональных данных, подразумевающий наказание за утечку. То есть, если в компании обнаружена утечка данных, и они предупредили о существующей проблеме, наказание, конечно же, последует, но не в полной мере. Если же утечка произошла, но о ней либо умолчали, либо не успели предупредить, то наказанием будут многомилионные штрафы или же отчисления в виде процентов от годового дохода. И потому сегодня большая часть европейских компаний старается инвестировать в защиту своих систем, дабы избежать больших штрафов, которые могут поставить компанию на грань разорения. Похожая система используется сейчас в России. Пример – утечка информации с сервера «Яndex-еда», который был оштрафован уже пару раз на 60 000 рублей.
– То есть вы считаете, что в Азербайджане должна быть аналогичная система, предусматривающая и поощрение, и наказание?
– Да, только в этом случае наши структуры, владеющие огромным количеством информации, будут работать в правильном направлении. На кого мы смотрим в первую очередь, когда речь идет о защите информации? Мы смотрим в сторону банков, но на самом деле огромным количеством информации у нас владеют компании, о которых мы подумаем в последнюю очередь, и речь не только о мобильных операторах. Я приведу в качестве примера обычную розничную торговлю – супермаркеты. Они знают, когда вы приходите, кто вы, у них есть карты лояльности, на которых содержится вся информация – вплоть до копий паспортов, они в курсе, сколько тратите, что вы покупаете. Далее – службы такси, в которых вы регистрируетесь и храните в их системе свои учетные данные, номера карточек, маршруты, контактные данные пассажиров и водителей. С учетом того, что большинство систем такси работают за пределами Азербайджана, соответственно, все вышеперечисленные личные данные наших граждан хранятся за пределами Азербайджана. И потому еще раз повторю: разработка закона – совершенно правильный шаг.
Естественно, это процесс не быстрый, какие-то определенные шаги были уже сделаны ранее. Но тут надо понимать, что за сохранность персональных данных и за их сохранение мы отвечаем сами. Я приведу пример: сейчас сезон отпусков и потому люди часто публикуют фото своих авиабилетов и посадочных талонов в интернете, в соцсетях. А тем не менее, зная фамилию и референс бронирования билетов, можно очень легко устроить счастливым обладателям проблемы. Я часто предупреждаю людей об этом, призывая их к бдительности.
Проблема зашиты персональных данных сегодня повсеместна, и наблюдается она практически во всех странах мира, даже в самых передовых. Если рассматривать в качестве примера соседние Турцию или же Россию, то согласно их законодательствам, все персональные данные должны храниться на территории страны. В Азербайджане есть похожие законы, в частности это касается данных лиц, не достигших совершеннолетия. Но нужно понимать, что фактически закон есть, а реализация его не обеспечена, потому что требуются переговоры с большим количеством международных компаний. Вы можете принять любой закон, а компания его не соблюдает. И тогда у вас всего два варианта: либо запретить деятельность этой компании на территории своей страны, либо как-то попытаться «разрулить» ситуацию.
Пример – тот же самый Linkedin, который несколько лет назад отказался переносить сервера в Россию, и соответственно эта сеть была заблокирована в России. У нас в стране используются социальные сети, онлайн магазины, медицинские компании и так далее, в которых хранятся данные граждан Азербайджана, но все эти данные хранятся за рубежом. Поэтому повторяю: разработка закона – правильный шаг. Но также правильнее будет обсудить все детали с руководством компаний, хранящих данные клиентов за рубежом, чтобы и закон соблюдался, и не было бизнес-конфликтов.
– Давайте поговорим о краже личных данных на примере банковских мошенников. В состоянии ли азербайджанские банки обезопасить своих вкладчиков от мошеннических нападок?
– Если вспомнить о нескольких волнах атак на пользователей банков, то в «сливе» личных данных виноваты не только хакеры, но и сами граждане, доверчиво раздающие личную информацию мошенникам, звонящим от имени банка. С одной стороны, банк в этом случае ничего не может сделать, поскольку пользователь передал все данные, включая коды доступа, в руки мошенников. С точки зрения закона это равносильно тому, что вы добровольно отдали свою банковскую карточку вместе с пин-кодом прохожему в парке, а потом стали кричать, что вас ограбили.
По сути, если вы сами предоставили первому встречному всю свою личную информацию, то с банка, как говорится, «взятки гладки». С другой стороны, сами банки должны усиленно работать над решением этого вопроса, очень тесно сотрудничать с правоохранительными органами. Сейчас ситуация такова: гражданин жалуется на проблему, а в банке ему говорят: идите в полицию. В полиции, конечно же, принимают заявление, но нужно понимать, что все эти заявления связаны с огромным объемом работы, и с работой с международными банками и правоохранительными органами – это нереальный объем работы и контактов для органов правопорядка.
А тем не менее нужно говорить с теми же самыми зарубежными банками, куда стекаются украденные деньги, объяснять, что совершено мошенничество, проявлять активность в попытке решения данного вопроса, перебирать варианты, как именно можно помочь в данном случае клиенту. Раньше я видел работу банков в этой сфере, но сейчас, к сожалению, я такой работы в банках не наблюдаю. А по сути департаменты безопасности банков должны не только говорить, что клиент сам предоставил данные мошенникам и потому сам виноват. С точки зрения закона они, конечно же, правы, направляя обманутых граждан в полицию. Но руководство банков знает наверняка, что это не первый и не второй случай в их практике, знают, что деньги утекают в зарубежные банки, расположенные на территории СНГ, и соответственно с этими банками можно связаться, поговорить, объяснить им ситуацию, что бы те приняли меры на своем уровне.
Не нужно ждать полицию, защита интересов клиента входит в обязанности банка. Ну и клиентам банков самим следует быть внимательнее, осторожнее. Но, к сожалению, банки пока не готовы к таким превентивным мерам, они не готовы сами стать детективами и переговорщиками, не готовы работать с зарубежными коллегами по вопросу предотвращения мошенничества.
Яна Мадатова
Minval.az