Разобраться • 29 сентября 2023

Многоступенчатая защита: как предприниматели охраняют данные клиентов

Многоступенчатая защита: как предприниматели охраняют данные клиентов

Общий план серверной комнаты с синим освещением

Фото: Jasmin Merdan / Getty Images


Вопрос защиты данных крайне актуален в наши дни, когда огромные объемы информации находятся в облачных хранилищах, которые нередко взламываются. Четыре российских предпринимателя рассказали Inc.Russia, стало ли сложнее охранять данные с уходом зарубежного ИТ-бизнеса, а также с какими проблемами столкнулись и как их решали.

Взаимодействие игроков рынка и регуляторов

Рассказывает Тимофей Нецветаев,

руководитель департамента инфраструктурных сервисов CDEK Digital

В 2023 году российские компании столкнулись с рядом вызовов. С одной стороны, от нас ушли крупные игроки, которые поставляли серьезные комплексы защиты, например NGFW от Cisco и Huawei. С другой стороны — строгое законодательство. Нам предъявляют высокие требования в области защиты персональных данных, что правильно, но бизнес из-за этого оказывается «между молотом и наковальней».

В этой ситуации помогает то, что российский сегмент аппаратных и программных защитных средств у нас достаточно развит. Конечно, он не может сравниться с мировым, но у нас есть сильные игроки, которые сейчас нарасхват.

На вопрос, стало ли сложнее защищать данные клиентов, отвечаю: да, стало. Но я думаю, что игроки этого рынка, производители средств защиты и регуляторы смогут выстроить взаимодействие, при котором данные клиентов будут в безопасности, а реализация требований не будет крайне болезненной для бизнеса.

Распределенное хранение и модерация

Рассказывает Святослав Демидов,

технический директор «Авто.ру»

Вопросы защиты данных пользователей и в принципе обеспечения безопасности информационных систем — это бесконечная технологическая гонка: между теми, кто пытается получить несанкционированный доступ, и разработчиками информационных продуктов.

В частности, мы в «Авто.ру» используем распределенное хранение: архитектура наших информационных систем исключает хранение данных вместе с программным кодом. Разработчики этих систем не имеют прямого доступа к данным пользователей. Любые работы на серверах хранения данных логируются: записывается вся история операций — кто получал доступ к серверу хранения информации, когда и какие операции производил. Каждый сеанс работы с серверами, хранящими базы данных, проверяют два независимых аудитора. Такой подход позволяет минимизировать возможность получения несанкционированного доступа к данным пользователей и снижает риски, связанные с человеческим фактором.

Также в связи с участившимися случаями телефонного мошенничества на всех наших сервисах мы перешли на использование подменных номеров. Таким образом, мы не показываем в открытом доступе телефон разместившего объявление, чтобы обезопасить его личный номер от звонков мошенников. Кроме того, мы в «Авто.ру» усилили премодерацию объявлений как в части активной модерации (проверка размещенных объявлений методом «тайного покупателя»), так и пассивной, проверяя каждую пользовательскую жалобу или обращение. Кроме того, мы внедрили технологии искусственного интеллекта для проверки текста и размещенных пользователями фотографий, чтобы избежать размещения мошеннических или оскорбительных объявлений.

Собственные разработки

Рассказывает Сергей Гусев,

начальник управления информационной безопасности «Северстали»

В целом стало немного сложнее — но не радикально. Основные процессы и инструменты для защиты адаптировали под новые реалии. Сейчас требуется более внимательно мониторить окружающее пространство на наличие актуальных угроз информационной безопасности. Сегодня больше собственной разработки и, как следствие, появился фокус на этих процессах и продуктах.

Мы активно работали с российскими поставщиками и пилотировали различные решения, а также составили программу по импортозамещению средств защиты информации. Из проблем: есть ряд классов решений по защите, которые отсутствуют на нашем рынке. Происходит удорожание инструментов для защиты, наблюдается дефицит квалифицированного персонала. Приходится больше комбинировать из имеющегося для обеспечения нужного качества процессов, привлекать студентов на стажерские программы и больше заимствовать внешней экспертизы.

Выстраивать защиту на старте

Рассказывает Максим Логинов,

основатель первой российской ERP-системы по легальному продвижению на маркетплейсах JVO, резидент «Сколкова»

C уходом зарубежного ИТ-бизнеса за последние полтора года в России было принято большое количество мер, направленных на усиление суверенитета нашей интернет-инфраструктуры, в том числе и в правовом поле. Приняты ряд законов, направленных на введение ответственности за утечку данных, а также оборотные штрафы. Безусловно, каждое подобное нововведение накладывает определенные обязательства, в том числе финансовые. Однако с учетом динамики развития и роста рынка маркетплейсов мы к подобным инвестициям относимся нормально.

Меры государства в части законотворчества,  внешнеполитические факторы заставляют бизнес во многом перезакладывать риски, уделять значительно больше внимания безопасности данных на старте и выстраивать архитектуру так, чтобы компании могли спокойно развиваться в будущем. Массированные атаки на инфраструктуру многих компаний в прошлом и в этом году также помогли предусмотреть и учесть на будущее ряд механизмов для устойчивой работы сервисов.

У нас есть отличные примеры — тот же банковский сектор, который на сегодняшний день по уровню сервиса и безопасности на голову обходит любую страну в мире, при этом являясь относительно молодой индустрией. Хочется верить, что трудности, с которыми мы столкнулись сейчас, лишь закалят нас и позволят строить новые проекты на более безопасном фундаменте в будущем.

По моему мнению, перестройка ИТ-рынка приведет к положительным результатам. Мы видим, с какой динамикой развиваются маркетплейсы в России, показывая кратный рост на фоне падения таковых в мире.

Мы не можем пользоваться популярными зарубежными облачными провайдерами, но в этом нет проблемы. Все спокойно мигрировали на российские аналоги, которые ничем не отличаются от аналогов по стандартам безопасности. Да, были громкие утечки данных у «Яндекса», «Литреса» и «Деливери», однако заявлять, что причина в уходе зарубежного бизнеса, на мой взгляд, некорректно. Мы как шифровали, так и шифруем чувствительные данные наших клиентов, и для этого никакие зарубежные решения не требуются.