О том, как в Италии мошенники требовали выкуп, заблокировав доступ к персональным данным, хакеры шантажировали власти и клиентов медицинского учреждения в городе Падуе, угрожая выложить в открытый доступ медицинские данные, и об опыте защиты персональных данных и сотрудничестве с Кыргызстаном рассказал Энцо Вейлува, руководитель отдела по защите данных итальянской компании CSI-Piemonte.
В рамках проекта Европейского союзa по двустороннему сотрудничеству «Поддержка программы цифровизации в Кыргызстане» эксперты международного уровня из консорциума во главе с Академией электронного управления eGA (Эстония) при участии HAUS (Финляндия), CSI-Piemonte (Италия) и Министерства цифрового развития Кыргызской Республики направляют развитие цифрового пространства в нашей стране. В их числе Энцо Вейлува, поделившийся интересными сведениями.
— Скажите, как гражданин Италии может быть уверен в том, что правительство защищает его персональные данные?
— Защита персональных данных подразумевает защиту прав каждого человека. Италия всегда уделяла особое внимание защите персональных данных, настолько, что уже в 1996 году итальянское государство ввело в действие закон о неприкосновенности частной жизни. В 2003 году он был обновлен и получил название «Кодекс неприкосновенности частной жизни». Этот документ и определяет правила, которые должны использоваться при обработке персональных данных. В 2016 году Италия начала корректировку законодательства для приведения его в соответствие с европейским регламентом. Процесс идет непрерывно.
С 1996 года в Италии действует Контрольный орган для мониторинга и контроля соблюдения европейского и национального законодательства в области обработки персональных данных, рассмотрения жалоб от граждан и организаций и применения санкций к тем, кто неправильно применяет законодательство.
— Случались ли в Италии ситуации, когда персональные данные были утеряны, похищены или использованы для мошенничества?
— В Италии число случаев утечки данных весьма велико. В основном это связано со все более сложными кибератаками, особенно на государственную администрацию. Парой историй я с вами поделюсь. 31 июля 2021 года в местности Лацио была совершена атака с использованием программы-вымогателя, которая почти на месяц заблокировала работу многих региональных служб.
Программы-вымогатели – это разновидность вредоносных программ, используемых киберпреступниками. Если компьютер или сеть заражены программой-вымогателем, происходят блокировка доступа к системе или шифрование данных. Киберпреступники требуют от своих жертв выкуп в обмен на предоставление доступа к данным. Сайт региона Лацио тогда пострадал от самого серьезного хакерского инцидента за всю историю Италии. Специалисты сумели справиться с атакой, но потратили очень много времени.
— Платить мошенникам власти не стали?
— Нет, конечно. Платить террористам и мошенникам мы никогда не станем, своего они не добьются.
— А вторая история?
— Очень широкий резонанс получила хакерская атака с использованием программы-вымогателя, произошедшая 3 декабря 2021 года в медицинском учреждении города Падуи. Были украдены данные пациентов, и хакеры угрожали опубликовать их в Интернете в открытом доступе. Требовали от властей деньги в качестве выкупа. Специалисты не были уверены, что база данных действительно попала в руки к злоумышленникам, но рисковать персональными данными пациентов никто не стал. Велись переговоры, проводилось расследование с участием разных ведомств. Защитить персональные данные удалось, выкуп мошенники точно так же, как и в первом случае, не получили.
— Какие выводы сделало правительство на основе этих и похожих инцидентов?
— Правительство Италии осознало, что одной из главных проблем является большое количество центров обработки данных в стране. По этой причине сейчас оно работает над централизацией и переносом тысяч центров обработки данных в несколько центров, называемых Национальными стратегическими полюсами, с высоким уровнем безопасности и большими технологическими инвестициями, способными гарантировать высокие стандарты безопасности. Также создано Национальное агентство кибербезопасности, которое работает вместе с Управлением по надзору за информационной безопасностью, отслеживая ситуацию и распространяя рекомендации по информационной безопасности.
— Какие проблемы в области защиты персональных данных вы оцениваете как самые значимые?
— Самая большая проблема заключается в том, чтобы заставить всех граждан, а особенно контролирующих и обрабатывающих данные лиц, понять важность и ценность персональных данных. Персональные данные — это все более ценная информация для защиты прав и свобод людей, и поэтому они должны быть защищены всеми, кто их обрабатывает, но в первую очередь самими субъектами данных.
— Вы консультируете Государственное агентство по защите персональных данных при кабинете министров Кыргызской Республики. Расскажите об этом сотрудничестве.
— Для нас большая честь сотрудничать с Агентством по защите данных Кыргызстана в рамках этого двустороннего проекта. Наша цель — поделиться всем нашим опытом, накопленным за многие годы, и предоставить наши знания и инструменты, чтобы помочь правительству Кыргызстана принять европейские стандарты по информационной безопасности и защите.
— Чему Кыргызстан может научиться у Италии в области защиты персональных данных?
— Наши эксперты представляют CSI Piemonte, которым доверены персональные данные миллионов граждан Италии. Для нас безопасность и конфиденциальность — главные приоритеты. Мы можем научить наших коллег избегать ошибок, которые сделали сами и преодолели на своем опыте. Обеспечение безопасности доверенной нам информации потребовало создания инфраструктуры, внедрения технологий, обучения и повышения квалификации наших экспертов. И сегодня мы здесь, чтобы поделиться всем тем, чему научились за эти годы.
— Каковы основные принципы, которым должны следовать люди, если они хотят сохранить свои данные защищенными?
— Прежде всего следует научиться защищать их, опасаясь всех тех, кто предлагает нам бесплатные услуги в обмен на наши данные, научиться внимательно читать информационные уведомления, чтобы понимать, как обрабатываются наши данные, кому они передаются и как долго хранятся. Всегда помните, что согласие на обработку данных, которое мы могли дать изначально, всегда можно отозвать, и помните, что для заинтересованных лиц существует право знать, какая информация обрабатывается, право на удаление, право на перенос, право на ограничение обработки. Кроме того, мы всегда должны требовать, чтобы наши данные обрабатывались законно и с соблюдением всех необходимых мер безопасности.
Материал подготовлен в рамках проекта Европейского союзa по двустороннему сотрудничеству «Поддержка программы цифровизации в Кыргызстане». Финансирование на реализацию инициативы в размере 2 миллионов евро выделил Европейский союз.
