Нам 10 лет!

Сегодня, 8 апреля, исполняется ровно 10 лет с того дня, когда наше Консалтинговое агентство «Емельянников, Попова и партнеры» было зарегистрировано как юридическое лицо и вышло на рынок.

Срок вроде бы и не большой, но сколько всего поменялось на рынке за это время! Принимались и изменялись законы и подзаконные акты, появлялись новые трактовки положений, казавшихся очевидными, суды принимали решения, переворачивавшие сложившееся понимание законодательства, вводились новые требования и новые ограничения, и мы вместе с нашими заказчиками лавировали в этом меняющемся, бушующем мире. Наша цель была всегда одна – обеспечить выполнение закона и не просто не дать загнуться бизнесу, порою очень плохо понимавшему, что хочет от него государство и его законодатели, но и обеспечить использование самых передовых информационных технологий, позволяющих оставаться конкурентоспособными, и не только в России, но и в мире.

За эти 10 лет в области нормативного регулирования сферы персональных данных произошли значительные изменения. Вскоре после начала работы нашего агентства, 25 июля 2011 года, Федеральным законом № 261 (помните поменявшийся радикально за две ночи закон Резника-Плигина-Московца?) была введена в действие фактически новая редакция закона о персональных данных. Сколько всего правильного в основном было написано блогерами, которые как никогда были популярны и читаемы в то время, специалистами и заинтересованными участниками рынка (одно обращение Г.А. Тосуняна к президенту страны чего стоило), сколько копий сломано (зря, как правило). Обсуждение 261-ФЗ стало самым, наверное, активным действием профессионального сообщества, пытавшегося повлиять на регуляторику в области безопасности, существенно затрагивающую интересы бизнеса. «Не шмогли» … Но и катастрофы, которой боялись, не произошло ввиду неизменного российского правила исполнения строгих законов.

В 2015 году заработало требование о локализации персональных данных во время их сбора, вызвавшее оторопь у российских дочек международных и иностранных компаний, активно использовавших зарубежные системы материнских компаний, первых, немногочисленных тогда пользователей облаков и SaaS систем. Пережили и это. Посмотрите статистику проверок 2016-2020 годов – про нарушения, связанные с локализацией, там почти ни слова. Все больше про войну с LinkedIn, Twitter и Facebook.

Вот и сейчас озадаченные владельцы сайтов не могут понять, как на них теперь разместить персональные данные, получить согласие субъектов и их представителей на распространение, указать условия и ограничения обработки и перечни, в отношении которых эти ограничения вводятся. Пережили былое, переживем и это… Ищем и найдем решения. 

Наш мир становится все более цифровым. На горизонте – цифровой профиль, новые реестры, которые знают про нас все больше и больше, проникающая в нашу жизнь, как вода в одежду во время ливня, биометрия, которые не все и не очень-то ждут. Интернет вещей с WiFi в каждом утюге и холодильнике. СИМ-карты в шлагбауме, подписывающиеся на новостные рассылки. Скучно в ближайшем будущем не будет точно.

Начав работать 10 лет назад, мы довольно скоро и сознательно сузили свою нишу на рынке. Мы решили отказаться от многих возможных направлений, в которых выполняли весьма успешные проекты, и сосредоточиться на двух – на персональных данных и тайнах (коммерческой, банковской, связи, врачебной и прочих, кроме государственной). Это позволило нам наработать экспертизу того уровня, благодаря которому мы стали консультантами крупнейших мировых ИТ-вендоров, помогая им и их заказчикам соблюдать требования российского законодательства, мировых и российских лидеров в самых разных направлениях экономики – госкорпораций, системообразующих банков страховых компаний, телеком-операторов, интернет-компаний и производителей средств защиты информации, предприятий промышленности, энергетики, фармацевтики, FGCG, медицинских организаций, служб по подбору персонала из разных стран и многих, многих других. Они именно пришли к нам – за все 10 лет мы не истратили на маркетинг ни копейки.   

Мы –партнеры крупнейших юридических компаний, выполняем совместные с ними сложные проекты, требующие понимания не только законодательства России, но и глубокого вникания в суть бизнеса.

Мы искренне стремились выполнить и нашу социальную миссию, в рамках который были проекты в благотворительных фондах для особенных детей, и множество просветительских и образовательных проектов.

Но среди наших заказчиков – не только компании из enterprise сегмента. Это и стартапы, работа с которыми не самая прибыльная, но, как правило – необыкновенно интересная, поскольку готовых решений как выполнить закон для абсолютно новой идеи, нормативно не урегулированной и не имевшей ранее прецедентов, конечно, нет, а вот необходимость вывода бизнеса, и не в серый, а в белый сегмент – есть.

Мы активно занимались образовательными проектами – курсами, семинарами, вебинарами. За 10 лет обучены тысячи специалистов, и с каждым годом доля специалистов по информационной безопасности среди них все меньше и меньше. Наши слушатели – руководители, первые лица организаций, юристы, в том числе находящиеся на очень высоких позициях и работающие в юридических компаниях, кадровики, айтишники и многие другие. Все эти 10 лет мы работаем с нашими главными партнерами по направлению образования – Учебным центром «Информзащита» и «БизнесШколаКонсультант».

Нам есть чем гордиться. Придуманы и реализованы новые формы и форматы консультационных услуг, подготовлено множество экспертных заключений, в том числе выложенных для свободного доступа, которые читали и использовали тысячи специалистов.

На наш блог, который, к сожалению, не удается обновлять постами так часто, как хотелось бы, тем не менее приходят ежедневно сотни и тысячи читателей. И мы не собираемся останавливаться. До новых встреч!  

Бойся инсайдера, в банк приходящего

На пост сподвигли три события. Бурное обсуждение под Магнитогорском безопасно-банковских проблем, в отношении которых есть возможность мнить себя стратегом, видя бой со стороны (в основном, в изложении Алексея Лукацкого). Круглый стол по безопасности систем дистанционного банковского обслуживания на Инфофоруме. И, наконец, последний отчет о правоприменении законодательства о персональных данных за январь 2013 года, который специалисты нашего агентства подготовили для своих клиентов-банков.

Возник какой-то внутренний диссонанс. Представители банковского сообщества в один голос винят во всех смертных грехах «самое слабое звено» - клиента, который неправильно, неумело, коряво и даже просто преступно пользуется предоставленным банком отличным инструментом под названием ДБО, или «клиент-банк», или интернет-банкинг, в результате чего некие злые хакеры или просто плохие парни захватывают контроль над клиентской машиной и от имени клиентов выводят денежки куда-то в «голубое нигде». А потом имеет наглость ждать вступления в силу пресловутой 9-й статьи 161-ФЗ с тем, чтобы заставить банк оплатить свое же головотяпство. При этом, правда, рассказывать клиенту о рисках в полном объеме как-то не комильфо, а то он уйдет к менее щепетильному конкуренту-молчуну. Да и оплачивать повышение осведомленности хорошо бы государству – это же его граждане портачат.

Но вот читаю ежемесячный отчет. И не в первый раз за последний год (я как-то писал на эту тему)  поражаюсь количеству мошенничеств, совершаемых инсайдерами. Т.е. вполне себе легитимными пользователями АБС и прочих банковских систем, где хранится и обрабатывается информация о клиентах, их счетах и с использованием которых совершаются транзакции. Теми, кто после неких проверочных мероприятий (в свете 152-ФЗ не вполне законных обычно, но также обычно проводимых) был принят на работу, которым предоставили доступ к информационным системам (т.е. к деньгам, вроде бы виртуальным, но вполне себе конвертируемым в наличность) и доверили банковскую и коммерческую тайну, да еще и персональные данные до полного комплекта, положили не самую маленькую в стране зарплату и пустили в огород.

А что же они, неблагодарные? Воруют. Деньги – банка и клиентов. Идентификационные данные – пользователей ДБО. Сведения о пластике, позволяющие выпустить карту-двойник или оплатить покупки через Интернет. И вообще, все что плохо и даже хорошо в банке лежит.

Вот сотрудница некоего смоленского банка, к своим 21 годам доросшая аж до кредитного инспектора, несмотря на столь юный возраст отлично приноровилась оформлять кредиты по неизвестно как добытым ее сообщником паспортным данным, приобретать на них не самую дешевую бытовую технику и сбывать ее.

Вот в неведомом мордовском Ковылкине ее коллега запугала пенсионерку, которая уже оформила все документы на кредит, да так, что дама от займа отказалась, а кредит получила сама, предоставив 57-летней несостоявшейся клиентке возможность возвращать банку 90 тысяч рублей.

В подмосковной Рузе менеджер по продажам финансовых продуктов (кредитов) ЗАО «Связной Логистика» оформляла кредитные карты на бывших покупателей, чьи данные остались в базе, и, естественно, сама же их и обналичивала, заработав таким нехитрым способом 700 тысяч рублей.

Менеджер группы отдела обслуживания физических лиц солидного западного банка, работающего в России, вошел в состав преступной группы, главную скрипку в которой играли полицейские, разыгрывающие сложные костюмированные спектакли со снятием наличных по поддельным документам, которые были оформлены на лиц, внешне похожих на VIP-клиентов банка. Сведения о них как раз менеджер и поставлял. Поскольку операция была сложной и многоходовой, ребята не мелочились и снимали суммы миллионов так по 12.

А уж когда за дело берутся инсайдеры на позициях топ-менеджеров банка, масштаб воровства становится соответствующим. Вслед за лишенным лицензии «Трансэнергобанком», феерически быстро оформившим задним числом вклады на безумную сумму группе подельников, прибежавших в Агентство по срахованию вкладов за «полагающимися» пайками, аналогичную комбинацию попытался провернуть АКБ «Экспресс» из солнечного, но загадочного Дагестана.

Это итоги одного месяца. Может, стоит подумать о том, что  слабое звено – не обязательно вне банка? И что масса людей, находящихся к деньгам гораздо ближе клиентов, и к значительно бОльшим деньгам, могут нанести гораздо более значительный ущерб своему работодателю, чем клиенты, для которых механизм возврата средств по мошенническим операциям вновь отодвинут на год? Может, что-то не так в консерватории? Не случайно заместитель начальника ГУБЗИ Банка России А.Сычев говорил о требованиях к DLP- системам, учитывающим банковскую специфику. Враг внутренний всегда гораздо опаснее внешнего.