Давайте разберемся в истинных причинах, стоящих за сопротивлением банков новому законодательству о защите данных. В основе лежит не техническая сложность, а человеческий фактор и устоявшиеся корпоративные практики.
Техническая возможность vs. Корпоративная реальность
С точки зрения технологий, создать полностью защищенную систему, из которой невозможно извлечь конфиденциальные данные, — задача сложная и дорогостоящая, но выполнимая. Однако главное препятствие заключается не в технологиях, а в том, что такая система создаст серьезные неудобства для многих высокопоставленных сотрудников банков по различным причинам. Именно поэтому они будут пытаться любыми способами заблокировать или отсрочить принятие этого закона.
Суть закона: цель, а не процесс
Чтобы понять суть конфликта, важно различать два типа законодательных актов: целевые и процессуальные. Целевые законы (например, КоАП РФ) устанавливают конечные цели и требования (например, запрет на превышение скорости), не предписывая конкретных методов их достижения. Процессуальные законы (например, ГПК РФ) детально описывают процедуры и формальности (например, порядок подачи иска).
Обсуждаемый закон о штрафах за утечки данных относится к первому типу. Государству важен результат — защита персональных данных клиентов, а не то, каким именно способом банки будут этого добиваться. И в этом заключается корень проблемы.
Банк — это не абстракция, а люди и процессы
Часто забывают, что «банк» или «правительство» — это не монолитные сущности, а сложные системы, состоящие из людей, оборудования, процессов и материалов. Ключевая уязвимость любой такой системы — человеческий фактор.
Показательный пример: после отказа в кредите в одном банке, клиенты буквально в течение часа получают звонки от других банков и МФО. Это прямое свидетельство утечки персональных данных на самом высоком уровне, встроенной в бизнес-процессы. Существует два вероятных сценария такой утечки:
В цепочке участвуют менеджер, продающий данные, разработчик, создавший канал утечки, и специалист по безопасности, который этот канал «прикрывает».
Тот же сценарий, но без участия менеджера — данные утекают через технические уязвимости, которые кто-то намеренно не устраняет.
Очевидно, что такая деятельность приносит участникам значительный нелегальный доход. Эти люди кровно заинтересованы в сохранении статус-кво и будут всеми силами саботировать любые изменения, угрожающие их «бизнесу». На открытом собрании никто не скажет: «Мы продаем ваши данные и хотим продолжать это делать», но сопротивление будет тихим и массовым.
Проблемы внедрения реальной безопасности
Когда государство решает всерьез защитить данные, перед банками встает ряд почти неразрешимых с их текущей структурой проблем:
Нехватка компетентных менеджеров. Для выполнения целевого закона нужны руководители, способные достигать сложных технических целей, а не просто имитировать деятельность. Как показывает практика с утечками, у многих банков таких кадров просто нет.
Проблема с позицией руководителя ИБ. В идеале глава службы информационной безопасности (СИБ) должен подчиняться напрямую гендиректору или совету директоров, иначе он становится «козлом отпущения». Чтобы реально что-то изменить, банку нужно нанять «человека со стороны», что порождает новые сложности: такой специалист знает реальное положение дел, не вовлечен в офисные интриги, навязывает неудобные, но правильные решения, обладает огромными полномочиями для проверок и рано или поздно выявит виновных в утечках. Его появление может расшатать всю привычную управленческую иерархию.
Обратите внимание: Как банки проверяют кредитную историю.
Сложность организационных изменений. Необходимо пересмотреть все процессы, что сопряжено с огромными трудностями: многие процессы неформальны, менеджеры часто не способны к реальным кадровым решениям, обучение персонала — отдельная сложная задача, а создание новых процессов кардинально отличается от поддержки старых. Результатом может стать временная неработоспособность банка.
Пропасть в разработке. Обычное приложение и безопасное приложение — это две большие разницы. Большинство программистов учатся создавать функциональный продукт («Мерседес»), а не бронированный автомобиль, способный выдержать попадание гранаты. Безопасный код часто считается среди разработчиков «плохим» кодом из-за своей избыточности и сложности. Специалистов, способных писать действительно защищенный код, катастрофически не хватает.
Замедление разработки. Внедрение серьезных мер безопасности замедляет процессы разработки в 5-8 раз. Там, где раньше выпускали обновление в неделю, теперь на это будут уходить месяцы.
Таким образом, для рядового сотрудника новая задача — головная боль, а для руководства IT-департамента — настоящая катастрофа, требующая полной перестройки мышления и процессов.
Открытое признание проблемы
Самое показательное — это официальная позиция банков, выраженная в их письме. Они предлагают не вводить многомиллионные штрафы, аргументируя это тем, что деньги пойдут на оплату этих штрафов, а не на развитие безопасности. В этом заявлении скрыто несколько ключевых признаний:
- Утечки данных — регулярное и практически неизбежное явление («повторная утечка»).
- Безопасность рассматривается исключительно как статья расходов («инвестиции в ИБ»), а не как фундаментальная потребность бизнеса.
- Действия будут носить формальный, а не реальный характер («если... не по вине компании»).
- Никто не гарантирует результат и не собирается реально работать над его достижением («предотвратить... добросовестным поведением»).
Фактически, это предложение сохранить текущее лицемерие: банки делают вид, что защищают данные, а регулятор делает вид, что верит в эту защиту. А проблемы клиентов, пострадавших от мошенничества, остаются их личными проблемами.
Уровень откровенности в этом заявлении поражает. Его можно перевести так: «Руководство наших банков некомпетентно в ключевых вопросах собственной надежности. Но нам нравятся наши высокие зарплаты, поэтому мы хотим, чтобы все осталось как есть».
P.S. Если будет интересно, в следующий раз можно подробнее рассказать о принципиальных отличиях систем, сконструированных с приоритетом на безопасность, от обычных.
Больше интересных статей здесь: Банки.
Источник статьи: Ответ на пост «Банки выступили против нового закона о штрафах за утечки данных».
