Наталья Касперская:  Утечки персональных данных невозможно расследовать в рамках административных дел

Оборотные штрафы не защитят от утечек персональных данных, считает Наталья Касперская, президент ГК InfoWatch, председатель правления АРПП "Отечественный софт". В интервью "Российской газете" она рассказала, почему персональные данные продолжают утекать, как с этим бороться, нужно ли легализовывать пиратское программное обеспечение и по каким причинам некоторые из мер поддержки IT-отрасли сегодня работают не совсем эффективно.

Наталья Ивановна, весь последний год мы следили за мерами поддержки IT-отрасли. Иногда казалось, что больше уже некуда, что помогли всем и во всем. Но не так давно прозвучала новая инициатива - о предустановке отечественных операционных систем (ОС) на компьютеры и ноутбуки. С одной стороны - это еще одна точка роста, а с другой - необходима ли она отрасли?

Наталья Касперская: У меня двойственное отношение к этой инициативе. С одной стороны, это действительно выглядит как поддержка отечественного производителя. Но с другой - я совершенно не понимаю, как можно реализовать эту инициативу так, чтобы не порушить рынок, потому что это явное лоббирование. Сейчас на рынке порядка 20 ОС, и невозможно всем 20 дать преференцию. Значит, преференция будет дана избранным, а это уже совсем не рыночный механизм. Как минцифры будет сохранять баланс в этом вопросе - мне не совсем понятно.

Готова ли отрасль к тому, чтобы реализовать задачу такого масштаба? Это же не просто установить программу. Это еще и поддержка, сервис, прямое общение с миллионами обычных, зачастую неподготовленных пользователей.

Наталья Касперская: Это, кстати, тоже может быть проблемой. Я, например, помню, как было с Антивирусом Касперского, когда в 2003-2004 годах мы совершили качественный скачок, и у нас внезапно стало не десятки тысяч, а миллионы пользователей. Вдруг выяснилось, что у нас маленький отдел поддержки и ее не хватает, что нам нужно переписывать архитектуру, потому что на большом объеме разнообразных компьютеров возникают конфликты с драйверами и другие сбои и т.д. То есть поддержка большого числа пользователей - это отдельная наука, которую, например, Microsoft освоила очень хорошо, а наши компании - не факт. Поэтому ответа на этот вопрос у меня нет. Я думаю, что это можно проверить только практикой.

Наталья Касперская: Нужно связать производителей ПО и железа. Фото: Александр Корольков

Продолжает активно обсуждаться и тема возможной легализации использования иностранного ПО. Теперь она дополнена тем, что вроде бы ушедший Microsoft ходит по рынку и предлагает продлевать лицензии крупным заказчикам. Получается, что рынок фактически остается у иностранцев?

Наталья Касперская: Давайте будем честны - значительная часть заказчиков еще никуда не успела перейти. Они как сидели на решениях транснациональных компаний, так и сидят. Многие покупали многолетние лицензии - год, два, три. Даже если лицензия закончилась, они все равно могут какое-то время использовать это программное обеспечение. И в этом смысле у ассоциации разработчиков программных продуктов (АРПП "Отечественный софт". - Прим. ред.) позиция однозначная: мы не поддерживаем легализацию использования иностранных продуктов. Мы считаем, что это - легализация пиратства. Удар и по своим в том числе. Потому что, де-факто, это узаконивание ворованного.

Во-первых, само воровство - нехорошо. Многие отечественные компании работают на зарубежных рынках. И им могут быть предъявлены претензии там. Во-вторых, узаконивание использования иностранного не будет мотивировать отечественные предприятия переходить на отечественное. Зачем? Когда есть импортное и бесплатно.

Если же брать плату за иностранное, как предлагает минцифры, то возникает куча других вопросов: как это ПО будет приобретаться, по каким ценам, как и с кем торговаться. На что ориентироваться? На цены на американском рынке? С чего бы вдруг?

Предустановка российских операционных систем снизит конкуренцию на рынке

Остается и вопрос сервисной поддержки.

Наталья Касперская: Конечно. Если я, как потребитель, плачу деньги за иностранное ПО, то я бы хотела, чтобы у меня была хоть какая-то гарантия работоспособности этого ПО. Раньше, если мы покупали продукцию Microsoft и обнаруживались какие-то проблемы, то мы писали в отдел поддержки Microsoft. Она худо-бедно, но отвечала. А сейчас кому нам писать?

Но основная проблема - это то, что у клиентов нет мотивации покупать российское ПО, ОС и российский офисный пакет. Если легализовать пиратство на год, два, три, то это ставит крест на всем импортозамещении.

Вполне допускаю, что мы чего-то не понимаем. Возможно, есть какой-то скрытый смысл этого действия, просто мы его не видим.

Зайдем с другой стороны - критики говорят, что наши разработчики слишком задрали цены, пользуясь высоким спросом. И проблема оказалась столь серьезной, что пришлось создавать специальную Хартию, ограничивающую цены. Тоже не очень рыночный механизм.

Наталья Касперская: Мы в ассоциации проводили исследование: кто и насколько резко поднял цены на свое ПО? Мы таковых либо не нашли, либо они не признались. По нашим оценкам, все повышения были в пределах 30%. Если же резкое повышение было, то такие компании в долгосрочной перспективе сами себе срезают рынок. Потому что повышение цен бьет по своим. Использовать ситуацию, когда всем и так нелегко, для взвинчивания цены - неправильно. Потому что программные продукты тем и отличаются, что делаются один раз, а потом продаются многократно - до выпуска следующей версии. И чем больше ты успеваешь продать, тем ниже получается себестоимость.

Однако в целом инициативу по ограничению цен мы поддерживаем. Разработчики не должны использовать тяжелый момент для зарабатывания сверхприбылей. Поэтому наша компания тоже планирует присоединиться к этой Хартии.

Но, насколько я понимаю, софт сейчас в основном разрабатывают, а продавать только начинают. То есть инвестиций много, а возврат где-то далеко… Или я неправильно понимаю?

Наталья Касперская: По уровню готовности софта есть разные категории. Первая категория - софт высокой готовности или даже мирового уровня, который и раньше занимал значительную долю российского рынка (и по нему практически ничего не изменилось). К этой категории относятся, например, многие виды ПО в области информационной безопасности. Доля иностранных производителей в сегменте защиты от утечек составляла около 2% до начала СВО. Сейчас его стало 0%. Эти 2% рынок вообще не заметил.

Вторая категория - ПО, где были хорошие заделы, но они не дотягивали до лидеров рынка. Именно здесь сейчас идет мощное развитие, попытка быстрого наращивания функционала для того, чтобы закрывать основные потребности заказчика. Соответственно, эта категория наиболее нуждается в инвестициях. К этой категории можно отнести офисное ПО, промышленное ПО, системы управления предприятием и т.п.

Третья категория - это софт, которого на нашем рынке просто не было. Примерами является узкоспециализированное ПО - диспетчерский софт для самолетов, ПО для многопользовательской экранной фотопробы в полиграфии или дистанционный кардиомониторинг, встроенное ПО для работы на определенных типах приборов, а также системное ПО, которое трудно монетизировать (компиляторы, языки программирования и пр.). В этой категории я, к сожалению, особых сдвигов не вижу. Например, те же компиляторы не продаются, а в основном распространяются бесплатно, коммерческого смысла их разрабатывать в общем-то нет. А вот с точки зрения государственных задач смысл имеется. И в принципе эти задачи были призваны решить Центры компетенций по разработке ПО (так называемые ЦКР), но они, по сути, так и не запустились. Если в ИЦК (Индустриальные центры компетенций. - Прим. ред.) мы видим, что есть явное продвижение - идут проекты, создается ПО, необходимое для различных индустрий, то в ЦКР - я не знаю ни одного запущенного проекта по созданию недостающего софта. На ЦКР, кстати, совсем не дали денег, в отличие от ИЦК.

Штрафы не работают, нужны какие-то другие меры вплоть до уголовного наказания лиц, ответственных за защиту данных

По рынку ходят слухи о трудностях с грантами, идущими по линии РФРИТ…

Наталья Касперская: Никаких особых трудностей нет. Есть одна - на разработку системного ПО и ПО для разработки (которое относится к ЦКР) в прошлом году не было выделено средств. И, как объяснил нам министр, на 2023 год выделение средств на ЦКР не предполагается.

Я согласна, что какие-то категории софта, относящегося к ЦКР, например, некоторые средства информационной безопасности, вполне можно сделать за свой счет. Тот же самый new generation firewall (NGFW) - на рынке есть конкурентные предложения, есть компании-разработчики, готовые вкладываться в тему и имеющие ресурсы. Но что касается средств разработки, компиляторов, языков программирования - кто это будет делать? ИСП РАН или НИИ "Восход"? Им, я так понимаю, денег на это не выделяют. Но подобные разработки невозможно запустить по рыночной модели, так как они не имеют рыночного сбыта. Нужны государственные вложения и государственная воля.

Отсутствие денег - основная проблема?

Наталья Касперская: Дело даже не в том, что нет поддержки - нет определенности. Непонятно, что будет с ЦКР. Вроде как выделили определенные подкатегории, распределили их каким-то людям, а что дальше происходит - совершенно непонятно и происходит ли что-то. Вообще, создавать что-то без денег и без плана - малореалистично, на мой взгляд. И если ИЦК явно занимаются разработками для своих отраслей, потому что им это важно, то ЦКР оказались бесхозными.

В поисках персональных данных пользователей преступники обратили внимание и на небольшие компании как на менее защищенные. Фото: metamorworks / iStock

И что с этим можно сделать?

Наталья Касперская: На мой взгляд, нужно вычленить те области разработок, которые стране однозначно нужны, но сейчас отсутствуют. И по каждой из этих областей назначить ответственного и выделить финансирование. А по прошествии заданного срока провести публичное тестирование данного сервиса (или ПО), чтобы оценить, что сделано именно то, что требовалось.

А появление реестра программно-аппаратных комплексов (ПАК)?

Наталья Касперская: Добавление ПАКов в Реестр российского программного обеспечения минцифры - это хороший шаг. Отрасли необходим мостик между разработчиками ПО и железа. У нас ведь исторически сложилось, что за производство оборудования отвечает минпромторг, а за производство ПО - минцифры. У минпромторга есть свой реестр отечественного оборудования, у минцифры - реестр ПО. А программно-аппаратные комплексы получались бесхозными.

Поэтому хорошо, что с 1 января сего года ПАКи могут быть включены в Реестр минцифры. Однако я заглянула туда из любопытства - на сегодняшний день ПАКов в Реестре ровно ноль. По сравнению с более чем 16 тысячами программных продуктов в реестре ПО. То есть пока этот механизм не запустился.

Давайте к другой теме. Утечек становится все больше. В таких оценках сходятся как регуляторы, так и ваши коллеги по рынку инфобезопасности.

Наталья Касперская: Мы зафиксировали, что в этом году в России произошел резкий, более чем двукратный рост числа утечек конфиденциальных данных. Причем не только в России, но и в мире. В прошлом году изменилась специфика краж персональных данных в России. Если раньше базы персональных данных в основном продавались, то сейчас их часто просто выкладывают бесплатно. То есть никакой коммерческой составляющей нет. Ясно, что это попытки расшатать ситуацию, имеющие политический смысл.

Если узаконить использование иностранного ПО, то у предприятий не будет стимула переходить на отечественное

И на этом фоне наконец вроде бы финализирован закон об оборотных штрафах за утечки данных. Потому что, когда VK штрафуют на 60 тысяч рублей - это как-то совсем неловко.

Наталья Касперская: В целом вы правы, но оборотные штрафы не являются панацеей. Во-первых, оборотные штрафы - это все-таки наказание не для всех, оно затронет только часть субъектов, владельцев персональных данных. Например, оно не затрагивает государственные учреждения, утечки из которых носят массовый характер. И для них оборотный штраф - мера, которая не работает. Там нужны какие-то другие меры вплоть до уголовного наказания лиц, ответственных за защиту данных и, может быть, даже руководителей. Потому что, если мы к одной части игроков применяем какие-то жесткие меры, а к другой части вроде как нет, это просто не будет работать.

Во-вторых, компании - обладатели больших персональных данных - не дураки, они этот закон тоже видят. Они начинают заранее стелить соломку и уже говорят, что множество персональных данных было украдено украинцами в этом и прошлом году. То есть о любой утечке данных можно заявить, что это данные, украденные ранее и не у нас. Расследование утечек - это сложно, дорого, а главное, трудноосуществимо в условиях административной ответственности и гражданского процесса. В рамках административного дела нельзя прийти к компании и заставить ее показать все данные. Получается, что даже для коммерческих компаний оборотных штрафов недостаточно.

Звучит безвыходно…

Наталья Касперская: Ужесточать и бороться все равно надо. Я бы все же шла по пути персональных наказаний и повышения ответственности руководителей. Потому что руководители должны понимать, что персональные данные - это серьезно, нельзя с данными граждан обращаться, как придется, и нужно серьезно думать об их защите. Ведь многие компании, особенно интернет-компании, собирают персональные данные просто до кучи, зачастую даже те, которые им сейчас не нужны, но все, что могут собрать. Потом они все это хранят, как придется, и неудивительно, что потом у них что-то утекает.

При этом, что считать персональными данными, тоже не до конца проговорено.

Наталья Касперская: Абсолютно. Определение персональных данных, данное в 152-ФЗ, дает широкий простор для толкования. Например, поисковые запросы вроде не относятся к персональным данным. Но, если человек дает поисковые запросы в "Яндекс", потом он едет на "Яндекс Такси", потом заказывает себе еду через "Яндекс Еду", то идентифицировать человека можно однозначно. И тогда все ранее полученные данные становятся персональными. Уже давно в нашей стране дискуссия идет о том, где линия разграничения.

На этот счет есть две крайних позиции. Например, Ассоциация больших данных полагает, что "персональные данные граждан - это собственность операторов больших данных", поскольку они эти данные собрали и на их основании оказывают пользователям услуги. Другая крайняя позиция - считать все данные, в том числе мета-данные, персональными. Но в этом случае никакие сервисы искусственного интеллекта в нашей стране работать не будут.

Более того, многие говорят, что даже если очистить, обезличить данные, то все равно никто не может дать гарантию, что их нельзя откатить обратно.

Наталья Касперская: Строго говоря, да. Как известно, человек определяется по четырем географическим точкам однозначно. Надо делать какие-то шаги с крайних позиций и в середине искать истину. Позицию Ассоциации нельзя принять полностью, потому что она совсем вакханалию устраивает с данными, и позицию "все закрыть" тоже нельзя использовать, потому что она полностью закрывает рынок.

В последнее время часто можно услышать, что атаки пошли на небольшие компании. И у них зачастую вообще нет никаких айтишников, которые могли бы озадачиться какой-то защитой.

Наталья Касперская: Потому что вектор атак всегда ориентирован на слабое звено. И в этом смысле, может быть, даже лучше создавать какие-то "озера данных", куда можно было бы сливать данные от нескольких операторов и дальше пытаться защитить их максимально. Предварительно максимально обезличив. Это, наверное, будет разумно. Но вообще это сложная проблема, она такая многоступенчатая, ее так просто, одним законом, мне кажется, не решить. Здесь нужен комплекс мер.

А как вы в целом относитесь к самой идее коммерческого оборота данных? Регулятор говорит, что это угроза.

Наталья Касперская: Вы пришли к человеку, который занимается информационной безопасностью. Вы от меня что хотите слышать? Что я скажу "ура, давайте"? Конечно, мы, как безопасники, смотрим на это как на угрозу. Но, с другой стороны - многие компании на этом строят бизнес. Например, "Яндекс Такси" или доставка еды - это бизнес, основанный исключительно на данных. Впрочем, мне кажется, при сборе данных нужно все-таки как-то находить разумный компромисс между задачами бизнеса и безопасностью данных граждан.

Максут Шадаев говорил, что они планируют в госорганах провести как раз такую вот чистку, когда будут убраны избыточные данные.

Наталья Касперская: Да, это хорошая идея. Очень хорошая. Если минцифры так сделает, то это будет замечательным примером для рынка. Примером того, что можно оказывать определенные услуги, при этом не собирая избыточных данных. С этим я абсолютно солидарна.

Официально

В пресс-службе минцифры "РГ" сообщили, что сейчас ИЦК и ЦКР проводят работу по формированию второй очереди особо значимых проектов для запуска в 2023 году. "Решение по выбору модели финансирования принимается отдельно по каждому проекту в зависимости от специфики проекта, сроков его реализации и степени зрелости дорабатываемого продукта. Наряду с грантовыми инструментами поддержки рассматриваются варианты привлечения льготных кредитов и венчурного финансирования. Минцифры совместно с РФРИТ в пилотном режиме запускает новый инструмент для ИТ-компаний - по привлечению частных инвестиций. Также существует возможность реализации проекта без привлечения государственных средств по модели "рынок в обмен на инвестиции", - заявили в ведомстве.

В аппарате правительства отметили, что разработка проектов по ИЦК и ЦКР ведется в соответствии с утвержденными дорожными картами высокотехнологичных направлений:

"Всем компаниям, которые запросили меры господдержки, она была оказана. При этом часть проектов реализуется за собственный счет. Для разработчиков предусмотрена возможность получить грант через Фонды РФРИТ и Сколково в рамках постановлений правительства № 550 и 555, а также получить льготный кредит. Необходимое финансирование предусмотрено. Всего в центрах компетенции по развитию общесистемного и прикладного программного обеспечения отобраны и утверждены 35 общественно значимых проектов. Правительство создает условия по обеспечению гарантированного спроса на продукты".