Со вступлением в силу поправок к федеральному закону № 152 компаниям запрещаются сбор, обработка и хранение персональных данных в облачных сервисах иностранных вендоров, так как их серверы находятся за рубежом.
При этом в ходе опроса 44% респондентов заявили, что используют в работе облачные сервисы Google, Office 365 и CRM. Такой подход создает серьезные правовые и операционные риски для бизнеса, потому что в процессе использования зарубежных "облаков" возможна незапланированная трансграничная передача персональных данных.
"Сегодня каждая компания - оператор персональных данных. Из тех компаний, которые еще не соответствуют требованиям закона о защите данных, 39% разработали маршрутную карту и находятся в процессе обновления, а треть даже не знают, с чего начать, и не имеют необходимых ресурсов. Это сигнализирует о масштабной проблеме. При текущем уровне киберугроз предписания законодательства - это база. Для практической же кибербезопасности данных бизнесу необходим еще более комплексный подход: подготовленная IT-инфраструктура, круглосуточный мониторинг и реагирование на инциденты, команда опытных специалистов, регулярные аудиты и кибериспытания", - отмечает старший аналитик по кибербезопасности компании K2 Кибербезопасность Анна Шарлай.
Больше половины компаний при выборе продуктов для защиты данных обращают внимание на сертификации Федеральной службы по техническому и экспортному контролю. При этом закон обязывает использовать исключительно сертифицированные решения для объектов критической информационной инфраструктуры. Это широкий список отраслей: энергетика, транспорт, IT и телеком, финансовый сектор, здравоохранение и образование. Для всех остальных прямого требования нет, но если компания не использует средства защиты, ей нужно будет самостоятельно оценивать соответствие требованиям.
"Если информация граждан физически размещается на серверах за пределами юрисдикции России, это является прямым нарушением закона. Кроме того, компания - владелец данных - лишается реального контроля над их движением и защитой, поскольку вынуждена полагаться на политику иностранного провайдера. А она может изменяться в одностороннем порядке и не учитывать требования российских регуляторов", - рассказал руководитель практики импортозамещения K2 Cloud Максим Завьялов.
В связи с этим, указывает эксперт, выбор российского провайдера, работающего в рамках правового поля и прошедшего аттестации в сфере информационной безопасности, становится не просто вопросом предпочтения, а стратегической необходимостью для обеспечения бизнес-непрерывности и избежания штрафов.
"Зрелость присутствует там, где есть большие объемы данных и бюджеты на реализацию требований. Как правило, это операторы связи, маркетплейсы и банки. Ситуацию может изменить только полное изменение принципов регулирования защиты прав субъектов персональных данных. Либо риск-ориентированный подход", - заключает бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукаций.