Александр Хинштейн: «Бороться с преступниками мало — важно научить людей защищать свои данные»

Александр Евсеевич, в свете роста кибератак на объекты критической информационной инфраструктуры, как вы считаете, достаточно ли существующих мер для их защиты? Какие конкретные изменения планирует внести Госдума для повышения уровня безопасности в телекоммуникационном и других секторах, подверженных рискам?

Александр Хинштейн: «Бороться с преступниками мало — важно научить людей защищать свои данные»
© It-world

Нет предела совершенству и надо понимать, что масштаб и сложность кибератак будут возрастать, поскольку они являются частью гибридной войны против России. И нам также необходимо постоянно усиливать меры безопасности, но поскольку вся цифровая инфраструктура страны продолжает успешно функционировать на протяжении СВО, означает, что главную задачу специалисты кибербеза выполняют.

В каких сферах, по вашему мнению, Россия наиболее уязвима и что нужно сделать, чтобы минимизировать риски на уровне государства?

Россия наиболее уязвима в тех сферах, где мы не достигли еще импортозамещения в полной мере. Это касается, увы, ряда направлений ИТ, в частности, элементной базы, микрочипов, но эта зависимость, слава богу, не дает сегодня каких-то негативных последствий.

Санкции не привели к ожидаемому результату, появился параллельный импорт, но наряду с этим масштабы импортозамещения увеличиваются, они должны расти и дальше. Мы должны выйти на полное обеспечение себя своими силами.

Вы не раз говорили, что законопроект об ужесточении ответственности за утечки персональных данных может вскоре стать законом. Считаете ли вы, что текущая редакция проекта достаточно сбалансирована?

Да, я считаю, что законопроект об ответственности за утечки следует обсуждать, когда мы внесем редакцию второго чтения, пока она находится в процессе обсуждения. Ключевым расхождением является наличие или отсутствие в окончательном варианте возможности для смягчения наказания, и что является основанием для такого смягчения.

Также предметом спора остаются жесткие санкции, нами предложенные, но я по-прежнему убежден, что без серьезной ответственности, без осознания, что придется заплатить рублем, бизнес вкладываться в инфобез не будет.

Новый законопроект об ограничении сбора персональных данных направлен на усиление защиты граждан. Но как, на ваш взгляд, он может повлиять на цифровые платформы и технологические компании, которые опираются на большие объемы данных для своих продуктов? Не приведет ли это к торможению инноваций?

Мы не ограничиваем сбор персональных данных, мы делаем этот процесс прозрачным и осознанным, потому что персональные данные неслучайно считаются сегодня новым золотом и люди все больше это осознают. Сложившаяся сегодня практика, когда у гражданина персональные данные, по сути, забирают без его ведома, ну, или не оповестив об этом должным образом, такая ситуация совершенно недопустима.

Наш закон обязывает брать согласие на обработку персданных только в виде отдельного самостоятельного документа. Не имеет значения, в бумажном варианте или в формате онлайн. Последнее особенно важно, учитывая, что на многих ресурсах человеку предлагается проставить галки с согласием в окнах, в том числе и на передаче персданных, и без этого просто обратная форма не загрузится. Приведет ли это к сложностям для торможения инноваций? Да нет, никоим образом это не приведет. Понятно, что крупному бизнесу этот закон невыгоден, поскольку он заинтересован в формировании массивов персональных данных, несмотря ни на что.

Но развитие инноваций возможно при обучении искусственного интеллекта, который используется при обработке больших данных, а для них персональные сведения не нужны, но это предмет уже другого закона.

Оборотные штрафы за утечки персональных данных вызвали волну обсуждений. Должны ли крупные корпорации нести большую ответственность по сравнению с малыми и средними предприятиями или нужно подходить ко всем одинаково?

По нашему законопроекту они и так несут, и так каждый будет платить в случае повторного правонарушения пропорционально своему обороту, то есть по доходам и расходам. Чем больше оборот у компании, тем больше штраф она заплатит. Поэтому устанавливаем нижнюю планку и верхнюю.

Например, за повторную утечку наиболее чувствительных биометрических персональных данных у нас минимальный оборотный штраф устанавливается не менее 30 миллионов рублей, а максимальный — полмиллиарда.

Ваша идея создания сети доверенных спецоператоров для хранения данных вызывает интерес. Каким образом будет регулироваться деятельность этих операторов? Не приведет ли такая централизация к повышенному риску утечек с участием спецоператоров?

Собственно, это и есть сегодня ключевой вопрос при подготовке нашего законопроекта. Каким образом будет не только регулироваться, но и верифицироваться деятельность этих спецоператоров со стороны государства. Потому что очевидно, те, кто сможет хранить большие массивы персональных данных, должны быть доверенными операторами. Государство должно быть убеждено в том, что эти данные хранятся надежно, безопасно, что выполняются все предусмотренные требования. Поэтому законопроект будет внесен тогда, когда весь этот алгоритм мы отработаем и пропишем с правоприменителями, здесь ключевыми участниками являются ФСБ и ФСТЭК.

С увеличением числа атак и необходимостью защищать объекты КИИ возникает вопрос о нехватке квалифицированных специалистов по информационной безопасности. Как государство планирует стимулировать развитие кадрового потенциала в этой сфере и какие инициативы могут помочь улучшить подготовку специалистов?

Сегодня государство, как мне кажется, предпринимает беспрецедентные по масштабу усилия для подготовки специалистов в ИТ-сфере и в информационной безопасности. Например, Минцифры предлагает крупным ИТ-компаниям направлять до 5% налогов, сэкономленных благодаря льготам для отрасли, на развитие отраслевых вузов. Со следующего года это может стать одним из условий продления аккредитации для ИТ-компаний. Считаю, что у бизнеса есть возможности и мотивы вкладываться в отраслевые вузы Минцифры: уже на этапе образования готовить будущих потенциальных высококвалифицированных сотрудников.

Вместе с Минцифры мы разрабатываем проект создания вокруг каждого цифрового вуза консорциумов, состоящих из компаний —лидеров рынка по своему профилю. Вкладываясь в развитие материальной базы, в создание различных центров инновационных разработок, на выходе вы получите возможность не только готовить кадры «под себя», но и прилично сэкономить время на поиск высококвалифицированных сотрудников.

Уже есть и примеры эффективности работы бизнеса в высшей школе — это создание в Самарском ПГУТИ (Поволжский государственный университет телекоммуникаций и информатики) первой и пока единственной в стране профильной кафедры высшего образования «Почты России», где со студентами работают реальные сотрудники компании. Университет телекоммуникаций активно сотрудничает с ведущими ИТ-компаниями — «Лабораторией Касперского» и «ЭР-Телекомом», считаю, что эту работу нужно развивать и в других регионах страны.

Какие конкретные меры, по вашему мнению, помогут эффективно бороться с распространением заведомо ложной информации в мессенджерах и социальных сетях? Как вы видите развитие законодательства в отношении мессенджеров в будущем? Станет ли Telegram и другие платформы более открытыми для контроля со стороны государства или намечается поиск компромиссов, устраивающих все стороны?

Уже сегодня мы дали регуляторам достаточно полномочий для эффективной борьбы с фейками в социальных сетях, в том числе и в мессенджерах. Эта работа, безусловно, будет продолжена, но главная наша задача — добиться цифровой безопасности во всех отношениях.

Насколько серьезно, по вашему мнению, новый закон повлияет на рынок серых сим-карт? Ожидается ли, что он приведет к снижению телефонного мошенничества или мошенники найдут новые способы обхода законов?

Новый закон повлияет на это серьезно. Понятно, что уже сегодня рынок заполнен большим количеством сим-карт, и в этом смысле нововведение их не коснется. Но процесс будет дальше идти эволюционным путем, поскольку всем операторам по законопроекту предстоит получить у своих клиентов переподтверждение. И следовательно, серые симки автоматически просто будут вымываться.

Что касается новых способов и ухищрений мошенников, они не стоят на месте. В этом смысле ИТ-преступность, пожалуй, самая изворотливая, самая профессиональная. Злоумышленники постоянно ищут и, увы, находят новые способы обогащения за счет наших и не только наших граждан. Задача государства здесь — оперативно реагировать на все эти вызовы.

Приведу пример. После введения системы «Антифрод», основное число вызовов с подменных номеров удалось заблокировать через автоматическую систему. Мы решили крайне острую проблему, но мошенники ушли в мессенджеры, которые не подпадают, по крайней мере пока, под систему «Антифрод».

Вопрос не только в том, чтобы каждый раз вставать на пути преступников, но и в том, чтобы повышать уровень правовой грамотности людей. Потому что сегодня про телефонных мошенников и социальную инженерию, мне кажется, не знают только пингвины, живущие на Северном полюсе, потому что их там нет, они живут на полюсе Южном. Тем не менее люди, в том числе и неглупые, не просто образованные, но и работающие в органах власти, продолжают попадаться на удочку жуликов.

Вы выступаете за мягкое регулирование ИИ, чтобы не мешать развитию отрасли. Как в этом контексте предполагается обеспечить безопасность, если регулирование будет слишком гибким? Какое место в этом процессе должна занимать государственная политика?

Да, действительно, мировой опыт показывает, что в тех странах, где регулирование происходит жестко, развитие искусственного интеллекта менее активно, чем в тех странах, где, напротив, искусственный интеллект, законодатель жестко не ставит в определенные рамки.

Пока сегодня мы тоже законодательно еще не определили, что такое искусственный интеллект. И здесь я не сторонник скорых поспешных решений. Хотя бы потому, что мы должны до конца понимать для себя не только преимущества и блага, но и риски и опасности, которые таит в себе это очевидно масштабное явление.

То, что законодательно мы его опишем, нет сомнений, но вопрос правильности подходов и оценок.

Александр Евсеевич, у вас недавно был юбилей. 50 лет — это значимая веха. Оглядываясь на свою карьеру, какие достижения в области информационной политики и связи вы считаете наиболее важными? Что было самым большим вызовом, который удалось преодолеть? Говорят, что каждый юбилей — это возможность для пересмотра целей.

Я надеюсь, что настоящие вызовы и трудности, еще впереди. Меня это не пугает, а, наоборот, только раззадоривает. Я привык жить активно, занимать активную гражданскую позицию, бороться с тем, что считаю неправильным и недопустимым. Ну, настоящая битва еще впереди, как, впрочем, и цели.

Какие цели в профессиональной сфере вы ставите перед собой на ближайшие годы?

Какие главные цели я ставлю перед собой? Думаю, что сегодня большинство из нас не отделяет своих целей личных, личных своих задач от задач всей страны, а главная задача сегодня — победить.